Cookie

互联网隐私一直是一个敏感话题。很多爆炸新闻或者香艳的丑闻，似乎就像病毒一样每隔一段时间就爆发。这不仅是网民茶余饭后的谈资调侃，也让部分安全公司开始吵作。用户在安全，隐私，cookie之类宣传攻势，不知所以。有的人认为cookie是泄露隐私的元凶。对于开发者，cookie的是web开发里程上的一大发明，cookie是小甜点，绝不是恶魔。但是，如果使用不当，小甜点发霉了一样会有毒。

前世今生

Cookie的诞生挺有意思。试想一下，当我们去银行办业务的时候，银行职员会提供一个卡号，待会较叫号的时候，拿着卡号给柜台业务员。这样简单的一种”认证“，就是cookie的一种应用。

在1994年6月的某天，24岁的，网景公司第九位工程师，moutulli，坐在键盘前，遇到和大家描述的一模一样的困难，他凭借着他高超的编程技能和思想设计出了一个五页纸的方案来解决这些棘手的问题，这个五页纸后来也就演变成了最初版本的Netscape Cookie规范。五页纸的核心观点就是在用户的电脑上存放一个小的文件来记录用户对网站的访问情况。moutulli将其简称为cookie。

Golang的Cookie

web开发免不了要和cookie打交道。go的http库也提供了cookie的相关操作。

type Cookie struct {
  Name       string
  Value      string
  Path       string
  Domain     string
  Expires    time.Time
  RawExpires string
  MaxAge     int
  Secure     bool
  HttpOnly   bool
  Raw        string
  Unparsed   []string
}

Name字段为cookie的名字，Value是其值，剩下的Path和Domain则是cookie的存储的范围。Expires是cookie的过期时间，如果不设置，那么这是一个session型的cookie，即浏览器会话有用，一旦关闭浏览器，cookie随即会被删除。

设置cookie

cookie是header一项内容，因此可以使用reponse的Header方法设置cookie。

func setCookieHandler(w http.ResponseWriter, r *http.Request) {
    c1 := http.Cookie{
        Name: "first_cookie",
        Value: "vanyar",
        HttpOnly: true,
    }

    c2 := http.Cookie{
        Name: "second_cookie",
        Value: "noldor",
        HttpOnly:true,
    }
    w.Header().Set("Set-Cookie", c1.String())
    w.Header().Add("Set-Cookie", c2.String())
}

cookie.png

这里也可以测试验证 Set和Add两个方法的差别。当然，和文件上传类似，go也提供了常用的工具函数。

http.SetCookie(w, &c1)
http.SetCookie(w, &c2)

http的SetCookie方法也可以设置cookie，就不需要关系Set和Add的先后顺序了，当然第二个参数是一个Cookie的指针对象。设置了cookie，接下来就是需要读cookie。

读取cookie

读取cookie的方式也有很多，cookie封装在header中，当然可以通过header方法处理。

func getCookieHandler(w http.ResponseWriter, r *http.Request) {
    h := r.Header["Cookie"]
    fmt.Fprintln(w, h)
}

不使用Header方法，也可以使用Request的方法：

func getCookieHandler(w http.ResponseWriter, r *http.Request) {
    c1, err := r.Cookie("first_cookie")
    if err != nil{
        fmt.Fprintln(w, "Cannot get cookie")
    }
    cs := r.Cookies()
    fmt.Fprintln(w, c1)
    fmt.Fprintln(w, cs)
}

访问的时候可以发现，r.Cookie返回了对于key的键值对，而r.Cookies则返回了所有cookie的key的键值对值。

cookie与消息

cookie的作用很多，通常记录客户端的一些信息，用来做用户的登录验证。现在我们需要使用cookie来做一个小特性---消息。通常web请求发出后，response返回数据，也可以设置一些消息用来指引用户。

func setMessageHandler(w http.ResponseWriter, r *http.Request) {
    msg := []byte("Hello World")
    c := http.Cookie{
        Name: "flash",
        Value:base64.URLEncoding.EncodeToString(msg),
    }
    http.SetCookie(w, &c)
}

func getMessageHandler(w http.ResponseWriter, r *http.Request) {
    c, err := r.Cookie("flash")
    if err != nil {
        if err == http.ErrNoCookie {
            fmt.Fprintln(w, "No message found")
        }
    }else{
        rc := http.Cookie{
            Name: "flash",
            MaxAge: -1,
            Expires:time.Unix(1, 0),
        }
        http.SetCookie(w, &rc)
        val, _ := base64.URLEncoding.DecodeString(c.Value)
        fmt.Fprintln(w, string(val))
    }
}

setMessageHandler 函数很简单，就是创建一个cookie实例，然后把消息写入到cookie，然后再返回给客户端。

getMessageHandler首先会读取key为flash的cookie，如果没读到内容，则表示消息不存在，否则就创建另外一个cookie，设置其过期时间这里等于清除cookie。然后把读取出来的message返回给客户端。完成消息通信。

总结

我们讨论了go中cookie的基本应用。现在的web开发中，人们越来越重视网络安全，因此cookie的安全也成为用户关心的内容。go原生的cookie封装比较简单。go的社区却开发了很多轮子，实现了secure cookie，例如gorilla/securecookie库。实际开发中，可能会借助一些三方的库或包来完成功能。

cookie用来做认证需要跟用户有交互，承载交互的当然是用户界面。既然是关于用户界面，学习go的模板技术就是顺其自然之事。虽然现在前后端分离技术，传统的模板技术已经逐步被前端渲染取代了，但是对于一些同构项目，还是依赖部分服务端模板渲染。下一个话题再讨论go的模板。

相关阅读：

cookie wiki
全面解读HTTP Cookie