session是在服务器端实现的一种用户和服务器之间认证的解决方案。
session创建过程
session的基本原理是由服务器为每个会话维护一份信息数据,客户端和服务端依靠一个全局唯一的标识来访问这份数据,以达到交互的目的。当用户访问Web应用时,服务端程序会随需要创建session,这个过程可以概括为三个步骤:
1)生成全局唯一标识符(sessionid);
2)开辟数据存储空间。可以将会话数据写到文件里或存储在数据库中,这样虽然会增加I/O开销,但是它可以实现某种程度的session持久化,也更有利于session的共享;
3)将session的全局唯一标示符发送给客户端(最关键);
如何发送session的唯一标识(sessionID)
1)Cookie服务端通过设置Set-cookie头就可以将session的标识符传送到客户端,而客户端此后的每一次请求都会带上这个标识符;
2)URL重写,就是在返回给用户的页面里的所有的URL后面追加session标识符,这样用户在收到响应之后,无论点击响应页面里的哪个链接或提交表单,都会自动带上session标识符,从而就实现了会话的保持。
虽然第二种做法比较麻烦,但是如果客户端禁用了cookie的话,此种方案将会是首选。
实现Session管理
1、session管理设计
session管理涉及到如下几个因素:
1)全局session管理器;
2)保证sessionID的全局唯一性;
3)为每个客户关联一个session;
4)session的存储(内存、文件、数据库等);
5)session过期处理;
2、Session管理器
定义一个全局的session管理器:
type SessionManager struct {
cookieName string // private cookiename
lock sync.Mutex // protects session
provider Provider
maxLifeTime int64
}
func NewManager(provideName, cookieName string, maxLifeTime int64) (*SessionManager, error) {
provider, ok := provides[provideName]
if !ok {
return nil, fmt.Errorf("session: unknown provide %q(forgotten import?)", provideName)
}
return &SessionManager{provider: provider, cookieName: cookieName, maxLifeTime: maxLifeTime}, nil
}
在main.go中创建一个全局的Session管理器:
var globalSessions *session.SessionManager
func init() {
globalSessions, _ = NewManager("memory", "gosid", 3600)
}
session是保存在服务器端的数据,它可以以任何的方式存储,比如存储在内存、数据库或者文件中。
我们抽象出一个Provider接口,用以表征session管理器底层存储结构。
type Provider interface {
SessionInit(sid string) (Session, error)
SessionRead(sid string) (Session, error)
SessionDestroy(sid string) error
SessionGC(maxLifeTime int64)
}
其中:
SessionInit():实现Session的初始化,操作成功则返回此新的Session变量;
SessionRead():返回sid所代表的Session变量,如果不存在,那么将以sid为参数调用SessionInit函数创建并返回一个新的Session变量;
SessionDestroy():用来销毁sid对应的Session变量;
SessionGC():根据maxLifeTime来删除过期的数据;
Session接口实现功能:
type Session interface {
Set (key, value interface{}) error // set session value
Get (key interface{}) interface{} // get session value
Delete (key interface{}) error // delete session value
SessionID() string // back current sessionID
}
注册Session实现:
var provides = make(map[string]Provider)
//Register makes a session provide available by the provided name.
//If Register is called twice with the same name or if driver is nil,
//it panics.
func Register(name string, provider Provider) {
if provider == nil {
panic("Session: Register provider is nil")
}
if _, dup := provides[name]; dup {
panic("session: Register called twice for provider " + name)
}
provides[name] = provider
}
全局唯一的SessionID
import (
crand "crypto/rand"
"encoding/base64"
"fmt"
"io"
)
func main() {
sessionid := sessionId()
fmt.Println("sessionid:", sessionid)
}
func sessionId() string {
r := make([]byte, 32)
if _, err := io.ReadFull(crand.Reader, r); err != nil {
return ""
}
return base64.URLEncoding.EncodeToString(r)
}
session创建
检测是否已经有某个Session与当前来访用户发生了关联,如果没有则创建。
func (manager *SessionManager) SessionStart(w http.ResponseWriter, r *http.Request) (session Session) {
manager.lock.Lock()
defer manager.lock.Unlock()
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
sid := manager.sessionId()
session, _ = manager.provider.SessionInit(sid)
cookie := http.Cookie{
Name: manager.cookieName,
Value: url.QueryEscape(sid),
Path: "/",
HttpOnly: true,
MaxAge: int(manager.maxLifeTime),
}
http.SetCookie(w, &cookie)
} else {
sid, _ := url.QueryUnescape(cookie.Value)
session, _ = manager.provider.SessionRead(sid)
}
return
}
Session的调用:
func login(w http.ResponseWriter, r *http.Request) {
sess := globalSessions.SessionStart(w, r)
r.ParseForm()
if r.Method == "GET" {
sid = sess.Get("uid")
} else {
sess.Set("uid", r.Form["username"])
}
}
Session操作:设置、读取和删除
func count(w http.ResponseWriter, r *http.Request) {
sess := globalSessions.SessionStart(w, r)
createtime := sess.Get("createtime")
if createtime == nil {
sess.Set("createtime", time.Now().Unix())
} else if (createtime.(int64) + 360) < (time.Now().Unix()) {
globalSessions.SessionDestroy(w, r)
sess = globalSessions.SessionStart(w, r)
}
ct := sess.Get("countnum")
if ct == nil {
sess.Set("countnum", 1)
} else {
sess.Set("countnum", (ct.(int) + 1))
}
fmt.Println("countnum:" + countnum)
}
session重置
在Web中用户退出登录时,需要对该用户的session数据进行销毁操作。
func (manager *SessionManager) SessionDestroy(w http.ResponseWriter, r *http.Request) {
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
return
} else {
manager.lock.Lock()
defer manager.lock.Unlock()
manager.provider.SessionDestroy(cookie.Value)
expiration := time.Now()
cookie := http.Cookie{
Name: manager.cookieName,
Path: "/",
HttpOnly: true,
Expires: expiration,
MaxAge: -1,
}
http.SetCookie(W, &cookie)
}
}
session销毁
在main.go启动的时候,启动:
func init() {
go globalSessions.GC()
}
func (manager *SessionManager) GC() {
manager.lock.Lock()
defer manager.lock.Unlock()
manager.provider.SessionGC(manager.maxLifeTime)
time.AfterFunc(time.Duration(manager.maxLifeTime), func() {
manager.GC()
})
}
以上代码中,GC利用了time包中的定时器功能,当超时maxLifeTime之后调用GC函数,这样就可以保证maxLifeTime时间内的session都是可用的,类似的方案也可以用于统计在线用户数之类的。