Go gorilla/sessions庫安裝使用

簡介

上一篇文章《Go 每日一庫之 securecookie》中,我們介紹瞭 cookie。同時提到 cookie 有兩個缺點,一是數據不宜過大,二是安全問題。session 是服務器端的存儲方案,可以存儲大量的數據,而且不需要向客戶端傳輸,從而解決瞭這兩個問題。

但是 session 需要一個能唯一標識用戶的 ID,這個 ID 一般存放在 cookie 中發送到客戶端保存,隨每次請求一起發送到服務器。cookie 和 session 通常配套使用。

gorilla/sessions是 gorilla web 開發工具包中管理 session 的庫。它提供瞭基於 cookie 和本地文件系統的 session。同時預留擴展接口,可以使用其它的後端存儲 session 數據。

本文先介紹sessions提供的兩種 session 存儲方式,然後通過第三方擴展介紹在多個 Web 服務器實例間如何保持登錄狀態。

快速使用

本文代碼使用 Go Modules。

創建目錄並初始化:

$ mkdir gorilla/sessions && cd gorilla/sessions
$ go mod init github.com/darjun/go-daily-lib/gorilla/sessions

安裝gorilla/sessions庫:

$ go get -u github.com/valyala/gorilla/sessions

現在我們實現在服務器端通過 session 存儲一些信息的功能:

package main
import (
  "fmt"
  "github.com/gorilla/mux"
  "github.com/gorilla/sessions"
  "log"
  "net/http"
  "os"
)
var (
  store = sessions.NewFilesystemStore("./", securecookie.GenerateRandomKey(32), securecookie.GenerateRandomKey(32))
)
func set(w http.ResponseWriter, r *http.Request) {
  session, _ := store.Get(r, "user")
  session.Values["name"] = "dj"
  session.Values["age"] = 18
  err := sessions.Save(r, w)
  if err != nil {
    http.Error(w, err.Error(), http.StatusInternalServerError)
    return
  }
  fmt.Fprintln(w, "Hello World")
}
func read(w http.ResponseWriter, r *http.Request) {
  session, _ := store.Get(r, "user")
  fmt.Fprintf(w, "name:%s age:%d\n", session.Values["name"], session.Values["age"])
}
func main() {
  r := mux.NewRouter()
  r.HandleFunc("/set", set)
  r.HandleFunc("/read", read)
  log.Fatal(http.ListenAndServe(":8080", r))
}

整個程序邏輯比較清晰,分別在/set/read路徑下掛上設置和讀取的處理函數。重點是變量store。我們調用session.NewFilesystemStore()方法創建瞭一個*sessions.FilesystemStore類型的對象,它會將我們的 session 內容存儲到文件系統(即本地磁盤上)。我們需要給NewFilesytemStore()方法傳入至少 2 個參數,第一個參數指定 session 存儲的本地磁盤路徑。後續參數依次指定hashKeyblockKey(可省略),前者用於驗證,後者用於加密,我們可以使用securecookie生成足夠隨機的 key,詳情見前一篇介紹securecookie的文章。

sessions為所有的 session 存儲抽象瞭一個接口Store

type Store interface {
  Get(r *http.Request, name string) (*Session, error)
  New(r *http.Request, name string) (*Session, error)
  Save(r *http.Request, w http.ResponseWriter, s *Session) error
}

實現這個接口可以自定義我們存儲 session 的位置和格式。

set處理函數中,我們調用store.Get(r, "user")獲取名為user的 session,如果 session 不存在,則創建一個新的。sessions庫支持為同一個用戶創建多個 session,store.Get()方法的第二個參數指定名字。獲取到的*Session結構如下:

type Session struct {
  ID string
  Values  map[interface{}]interface{}
  Options *Options
  IsNew   bool
  store   Store
  name    string
}

數據直接存放在Session.Values字段中,這是一個類型為map[interface{}]interface{}的字段,幾乎能保存任何類型的數據(之所以我這裡要說幾乎,因為還要考慮序列化到存儲的限制,有些數據類型無法序列化為字節流保存,如chan)。

set處理函數中,我們直接操作Values字段,最後我們調用store.Save(r, w, session)將 session數據保存到對應的存儲中。

get處理函數中,同樣地我們先調用store.Get(r, "user")獲取*Session對象,然後讀取裡面的nameage值。

運行:

$ go run main.go

首先訪問localhost:8080/set,通過瀏覽器的開發者工具Application頁簽查看 cookie:

我們發現 session 的名字會作為 cookie 名發送到客戶端,session ID 被保存為 cookie 的值。

然後我們訪問localhost:8080/read,讀取到 session 保存的數據:

另前面說過FilesystemStore數據是存儲在本地硬盤上的,在運行程序的本地目錄我們看到有以 session 開頭的文件,文件名 session 後面的部分就是 session ID:

cookie 存儲

除瞭默認的將本地文件系統作為存儲外,sessions還支持將 cookie 作為存儲,也就是將 session 的數據直接通過 cookie 在客戶端和服務器之間傳輸。cookie 存儲的創建方式與文件系統存儲的創建方式類似:

var store = sessions.NewCookieStore(securecookie.GenerateRandomKey(32), securecookie.GenerateRandomKey(32))

sessions.NewCookieStore()方法的第一個參數為 hashKey 用於驗證,第二個參數為 blockKey 用於加密,與sessions.NewFilesystemStore()一樣。

其他部分的代碼完全不用修改,運行程序的結果與上面的一致。session 數據保存在 cookie 中,隨每次請求由客戶端傳給服務器。這種方式其實就是之前文章中介紹的 cookie 用法。

記錄登錄狀態

之前我們介紹gorilla/mux時介紹過使用 cookie 保存登錄狀態。當時將用戶名和密碼經過簡單的 Base64 編碼後就直接存放在 cookie 中瞭,基本處於“裸露”狀態。隻要有意,很容易就能竊取用戶名和密碼。現在我們將用戶關鍵信息存儲在 session 中,cookie 中隻存儲一個 session ID。

首先,我們設計 3 個頁面,登錄頁面,主頁面,授權才能訪問的 secret 頁面。登錄頁面隻需要用戶名&密碼的輸入框和登錄按鈕即可:

// login.tpl
<form action="/login" method="post">
  <label>Username:</label>
  <input name="username"><br>
  <label>Password:</label>
  <input name="password" type="password"><br>
  <button type="submit">登錄</button>
</form>

登錄請求根據方法不同需要執行不同的操作,GET 方法表示請求登錄的頁面,POST 方法表示執行登錄操作。我們使用handlers.MethodHandler這個中間件來處理同一個路徑的不同方法的請求:

r.Handle("/login", handlers.MethodHandler{
  "GET":  http.HandlerFunc(Login),
  "POST": http.HandlerFunc(DoLogin),
})

Login處理函數很簡單,隻是展示頁面:

func Login(w http.ResponseWriter, r *http.Request) {
  ptTemplate.ExecuteTemplate(w, "login.tpl", nil)
}

這裡我使用 Go 標準庫html/template模版庫來加載和管理各個頁面的模板:

var (
  ptTemplate *template.Template
)
func init() {
  template.Must(template.New("").ParseGlob("./tpls/*.tpl"))
}

DoLogin處理函數,需要驗證登錄請求,然後創建User對象,保存在 session 中,接著重定向到主頁面:

func DoLogin(w http.ResponseWriter, r *http.Request) {
  r.ParseForm()
  username := r.Form.Get("username")
  password := r.Form.Get("password")
  if username != "darjun" || password != "handsome" {
    http.Redirect(w, r, "/login", http.StatusFound)
    return
  }
  SaveSessionUser(w, r, &User{Username: username})
  http.Redirect(w, r, "/", http.StatusFound)
}

下面是主頁面的處理,我們可以從 session 中取出保存的User對象,根據是否有User對象顯示不同的頁面:

// home.tpl
{% if . %}
<p>Hi, {% .Username %}</p><br>
<a href="/secret" rel="external nofollow" >Goto secret?</a>
{% else %}
<p>Hi, stranger</p><br>
<a href="/login" rel="external nofollow" >Goto login?</a>
{% end %}

HomeHandler代碼如下:

func HomeHandler(w http.ResponseWriter, r *http.Request) {
  u := GetSessionUser(r)
  ptTemplate.ExecuteTemplate(w, "home.tpl", u)
}

最後是 secret 頁面:

// secret.tpl
<p>
Lorem ipsum dolor sit amet consectetur adipisicing elit.
Inventore a cumque sunt pariatur nihil doloremque tempore,
consectetur ipsum sapiente id excepturi enim velit,
quis nisi esse doloribus aliquid. Incidunt, dolore.
</p>
<p>You have visited this page {% .Count %} times.</p>

顯示訪問瞭該頁面多少次。

SecretHandler如下:

func SecretHandler(w http.ResponseWriter, r *http.Request) {
  u := GetSessionUser(r)
  if u == nil {
    http.Redirect(w, r, "/login", http.StatusFound)
    return
  }
  u.Count++
  SaveSessionUser(w, r, u)
  ptTemplate.ExecuteTemplate(w, "secret.tpl", u)
}

如果沒有 session,則重定向到登錄頁面。反之顯示該頁面。這裡每次成功訪問 secret 頁面,都會增加計數器,保存在 session 中。

上面代碼中需要註意一點,由於 session 內容的序列化使用瞭標準庫中的encoding/gob,所以不支持直接序列化結構體,我封裝瞭兩個函數,將User對象序列化為 JSON,然後保存到 session 中和從 session 中取出字符串反序列化為User對象:

func GetSessionUser(r *http.Request) *User {
  session, _ := store.Get(r, "user")
  s, ok := session.Values["user"]
  if !ok {
    return nil
  }
  u := &User{}
  json.Unmarshal([]byte(s.(string)), u)
  return u
}
func SaveSessionUser(w http.ResponseWriter, r *http.Request, u *User) {
  session, _ := store.Get(r, "user")
  data, _ := json.Marshal(u)
  session.Values["user"] = string(data)
  store.Save(r, w, session)
}

現在運行我們的程序,首先訪問localhost:8080,由於沒有登錄,顯示歡迎陌生人,去登錄:

點擊去登錄,跳轉到登錄界面,輸入用戶名和密碼:

點擊登錄,跳轉到主頁,這時由於記錄瞭登錄狀態,會顯示歡迎 darjun:

點擊去隱秘鏈接:

不停刷新頁面,發現訪問次數一直累加。

如果未登錄時,直接訪問localhost:8080/secret,會直接重定向到登錄界面。

上面程序有一個缺點,程序重啟啟動後,就需要重新登錄。因為每次啟動我們都重新隨機 hashKey 和 blockKey,隻需要固定這兩個值即可實現重啟也能保存登錄狀態。

登錄驗證類的功能非常適合放在中間件中處理,之前的文章已經介紹過如何編寫中間件瞭,這裡就不贅述瞭。

第三方後端存儲

將 session 存儲在本地文件系統,不利於水平擴展。一般稍微上點規模的網站,Web 服務器都會部署很多個實例,請求通過 Nginx 之類的反向代理轉發到一個後端實例處理。不能保證後面的請求與之前的請求在同一個實例中處理,故 session 一般需要存儲在一個公共的地方,例如 redis。

sessions提供瞭擴展接口,方便擴展使用其他的後端存儲 session 內容。目前 GitHub 上已經有很多的第三方後端擴展瞭,詳細 list 見sessions庫的 GitHub 首頁:

我們隻介紹基於 redis 的後端存儲,其他的擴展感興趣可自行研究。首先安裝擴展:

$ go get gopkg.in/boj/redistore.v1

創建一個 redistore 的實例:

store, _ = redistore.NewRediStore(10, "tcp", ":6379", "", []byte("redis-key"))

參數依次為:

size:最大空閑連接數;

network:連接類型,一般是 TCP;

addr:網絡地址+端口;

password:redis 的密碼,如果未啟用,填空;

keyPairs:依次是 hashKey 和 blockKey(可省略),不再贅述。

為瞭驗證,我們開啟多個服務器,所以將端口通過命令行參數傳入,使用標準庫flag

port = flag.Int("port", 8080, "port to listen")
func init() {
  flag.Parse()
}
func main() {
  // ...
  log.Fatal(http.ListenAndServe(fmt.Sprintf(":%d", *port), nil))
}

為瞭運行服務器,我們需要先開啟一個 redis-server。redis 的安裝就不多說瞭,在 windows 下,建議使用 chocolatey 安裝,chocolatey 類似於 Ubutnu 的 apt-get,Mac 的 brew,非常方便,強烈推薦。

為瞭演示反向代理的效果,即通過一個地址可以隨機訪問部署的多個 Web 服務器,我們開啟 3 個 Web 服務器。終端1:

$ go build 
$ ./redis -port 8080

終端2:

$ ./redis -port 8081

終端3:

$ ./redis -port 8082

可以使用nginx做反向代理,安裝 nginx,配置:

upstream mysvr {
  server localhost:8080;
  server localhost:8081;
  server localhost:8082;
}
server {
  listen       80;
  server_name  localhost;
  location / {
    proxy_pass http://mysvr;
  }
}

這裡表示將localhost隨機轉發到mysvr這個組中的 3 個服務器上,啟動 nginx:

$ nginx -c nginx.conf

萬事俱備,現在使用瀏覽器訪問localhost,通過控制臺日志發現是 server3 處理瞭這個請求:

點擊去登錄,server1 處理瞭展示頁面的請求:

點擊登錄,server3 處理瞭 POST 類型的登錄請求:

登錄成功之後,重定向到主界面的請求又是 server1 處理的:

點擊私密鏈接,展示頁面的請求是 server2 處理的:

雖然每次處理的 server 不同,但是登錄狀態一直保存著。因為我們使用瞭 redis 保存 session。

註意,我這裡每次都是隨機一個 server 去處理,你運行的結果不一定一樣。

總結

session 為瞭解決存儲用戶大量數據和安全性的問題。sessions庫為 Go Web 開發中處理 session 提供瞭簡單,靈活的方法。它依賴較少,可以即插即用,非常方便。

大傢如果發現好玩、好用的 Go 語言庫,歡迎到 Go 每日一庫 GitHub 上提交 issue😄

參考

gorilla/sessions GitHub:github.com/gorilla/sessions

Go 每日一庫 GitHub:https://github.com/darjun/go-daily-lib

以上就是Go gorilla/sessions庫安裝使用的詳細內容,更多關於Go gorilla/sessions庫的資料請關註WalkonNet其它相關文章!

推薦閱讀: