Go基础学习记录之Session和Cookie

Session和Cookie

session和cookie是两个很是常见的Web概念，也很容易被误解。
可是，它们对于页面受权以及收集页面统计信息很是重要。
咱们来看看这两个用例。

假设咱们要抓取限制公共访问的页面，例如Twitter用户的主页。
固然，您能够打开浏览器并输入用户名和密码来登陆和访问该信息，但所谓的“网络爬行”意味着咱们使用程序自动执行此过程而无需任何人为干预。
所以，当咱们使用浏览器登陆时，咱们必须找出幕后的真实状况。

当咱们第一次收到登陆页面并输入用户名和密码时，按下“登陆”按钮后，浏览器会向远程服务器发送POST请求。
服务器验证登陆信息并返回HTTP响应后，浏览器重定向到用户主页。
这里的问题是，服务器如何知道咱们拥有所需网页的访问权限？
因为HTTP是无状态的，所以服务器没法知道咱们是否在最后一步中经过了验证。
最简单也许最天真的解决方案是将用户名和密码附加到URL。
这有效，但对服务器施加了太大的压力（服务器必须验证针对数据库的每一个请求），而且可能对用户体验有害。
实现此目标的另外一种方法是使用cookie和session在服务器端或客户端保存用户的身份。
简而言之，Cookie会在客户端的计算机上存储历史信息（包括用户登陆信息）。
每次用户访问同一网站时，客户端的浏览器都会发送这些cookie，自动完成用户的登陆步骤。

另外一方面，session在服务器端存储历史信息。
服务器使用session ID来标识不一样的session，而且服务器生成的session ID应始终是随机且惟一的。
您可使用cookie或URL参数来获取客户端的身份。

Cookie由浏览器维护。
能够在Web服务器和浏览器之间进行通讯时修改它们。
当用户访问相应的网站时，Web应用程序能够访问cookie信息。
在大多数浏览器设置中，有一个与cookie隐私相关的设置。
打开它时，您应该可以看到相似于如下内容的内容。

Cookie具备到期时间，而且有两种类型的Cookie以其生命周期区分：会话cookie和持久性cookie。
若是您的应用程序未设置cookie到期时间，浏览器关闭后浏览器将不会将其保存到本地文件系统中。
这些cookie称为会话cookie，这种类型的cookie一般保存在内存中而不是本地文件系统中。
若是您的应用程序确实设置了到期时间(例如，setMaxAge(606024))，浏览器会将此cookie保存到本地文件系统，而且在达到分配的到期时间以前不会删除它。
保存到本地文件系统的Cookie能够由不一样的浏览器进程共享 - 例如，经过两个IE窗口;
不一样的浏览器使用不一样的进程来处理保存在内存中的cookie。

Cookie

Set Cookie

Go使用net/http包中的SetCookie函数来设置cookie：

http.SetCookie(w ResponseWriter, cookie *Cookie)

w是请求的响应，cookie是结构。让咱们看看Cookie的结构：

// A Cookie represents an HTTP cookie as sent in the Set-Cookie header of an
// HTTP response or the Cookie header of an HTTP request.
//
// See http://tools.ietf.org/html/rfc6265 for details.
type Cookie struct {
    Name  string
    Value string

    Path       string    // optional
    Domain     string    // optional
    Expires    time.Time // optional
    RawExpires string    // for reading cookies only    // MaxAge=0 means no 'Max-Age' attribute specified.
    // MaxAge<0 means delete cookie now, equivalently 'Max-Age: 0'
    // MaxAge>0 means Max-Age attribute present and given in seconds
    MaxAge   int
    Secure   bool
    HttpOnly bool
    Raw      string
    Unparsed []string // Raw text of unparsed attribute-value pairs
}

下面让咱们实例演示一下

expired := time.Now().Add(365 * 24 * time.Hour)
cookie := http.Cookie{
    Name:    "site_name",
    Value:   "gowhich",
    Expires: expired,
}

http.SetCookie(w, &cookie)

上面的示例显示了如何设置cookie。如今让咱们看看如何获​​取已设置的cookie：

Get Cookie

var siteName string
cookie, err := r.Cookie("site_name")
if err != nil {
    siteName = cookie.Value
}
fmt.Println(siteName)

从请求中获取cookie很是方便。

Session

session是一系列操做或消息。例如，您能够考虑在接听电话和挂起电话之间采起的动做。
在网络协议方面，session更多地与浏览器和服务器之间的链接有关。
session有助于存储服务器和客户端之间的链接状态，这有时能够采用数据存储结构的形式。
session是服务器端机制，一般使用哈希表（或相似的东西）来保存传入的信息。
当应用程序须要为客户端分配新会话时，服务器应检查是否存在具备惟一session ID的同一客户端的任何现有session。
若是session ID已存在，则服务器将只返回同一session到客户端。
另外一方面，若是客户端不存在session ID，则服务器会建立一个全新的session（这一般发生在服务器删除了相应的sessionID，但用户已手动附加旧session时）。
session自己并不复杂，但它的实现和部署是比较复杂的，因此你不能使用“一种方式来统治它们”。

总之，session和cookie的目的是相同的。
它们都是为了克服HTTP的无状态，但它们使用不一样的方法。
session使用cookie在客户端保存session ID，并在服务器端保存全部其余信息。
Cookie会在客户端保存全部客户端信息。
您可能已经注意到cookie存在一些安全问题。
例如，恶意第三方网站可能会破解和收集用户名和密码。

如下是两个常见的漏洞：

• appA为appB设置了一个意外的cookie。
• XSS攻击：appA使用JavaScript document.cookie访问appB的cookie。

看完本次分享后，您应该了解一些cookie和session的基本概念。你应该可以理解它们之间的差别，这样当不可避免地出现bug时你就不会自杀。