Go Web 编程--如何确保Cookie数据的安全传输

什么是Cookie

Cookie（也叫Web Cookie或浏览器Cookie）是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。一般，它用于告知服务端两个请求是否来自同一浏览器，如保持用户的登陆状态。Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能。

Cookie主要用于如下三个方面：

• 会话状态管理（如用户登陆状态、购物车、游戏分数或其它须要记录的信息）
• 个性化设置（如用户自定义设置、主题等）
• 浏览器行为跟踪（如跟踪分析用户行为等）

Go语言如何表示Cookie

在Go的net/http库中使用http.Cookie结构体表示一个Cookie数据，调用http.SetCookie函数则会告诉终端用户的浏览器把给定的http.Cookie值设置到浏览器Cookie里，相似下面：

func someHandler(w http.ResponseWriter, r *http.Request) {
  c := http.Cookie{
    Name: "UserName",
    Value: "Casey",
  }
  http.SetCookie(w, &c)
}

http.Cookie结构体类型的定义以下：

type Cookie struct {
   Name  string
   Value string

   Path       string    // optional
   Domain     string    // optional
   Expires    time.Time // optional
   RawExpires string    // for reading cookies only

   // MaxAge=0 means no 'Max-Age' attribute specified.
   // MaxAge<0 means delete cookie now, equivalently 'Max-Age: 0'
   // MaxAge>0 means Max-Age attribute present and given in seconds
   MaxAge   int
   Secure   bool
   HttpOnly bool
   SameSite SameSite
   Raw      string
   Unparsed []string // Raw text of unparsed attribute-value pairs
}

Name和Value字段就很少说了，单独针对几个须要解释的字段进行说明。

Domain

默认值是当前正在访问的Host的域名，假设咱们如今正在访问的是www.example.com，若是须要其余子域名也可以访问到正在设置的Cookie值的话，将它设置为example.com 。注意，只有正在被设置的Cookie须要被其余子域名的服务访问到时才这么设置。

c := Cookie{
  ......
  Domain: "example.com",
}

Path

设置当前的 Cookie 值只有在访问指定路径时才能被服务器程序读取。默认为服务端应用程序上的任何路径，可是您可使用它限制为特定的子目录。例如：

c := Cookie{
  Path: "/app/",
}

Secure

标记为Secure 的Cookie只应经过被HTTPS协议加密过的请求发送给服务端。但即使设置了 Secure 标记，敏感信息也不该该经过Cookie传输，由于Cookie有其固有的不安全性，Secure 标记也没法提供确实的安全保障。从 Chrome 52 和 Firefox 52 开始，不安全的站点（http:）没法使用Cookie的 Secure 标记。

HttpOnly

为避免跨域脚本 (XSS) 攻击，经过JavaScript的API没法访问带有 HttpOnly 标记的Cookie，它们只应该发送给服务端。若是包含服务端Session 信息的Cookie 不想被客户端JavaScript 脚本调用，那么就应该为其设置 HttpOnly 标记。

安全地传输Cookie

接下来咱们探讨两种安全传输Cookie的方法

对Cookie数据进行数字签名

对数据进行数字签名是在数据上添加“签名”的行为，以即可以验证其真实性。不须要对数据进行加密或屏蔽。

签名的工做方式是经过散列-咱们对数据进行散列，而后将数据与数据散列一块儿存储在Cookie中。而后，当用户将Cookie发送给咱们时，咱们再次对数据进行哈希处理，并验证其是否与咱们建立的原始哈希匹配。

咱们不但愿用户也用篡改后的数据建立新的哈希，所以常常会看到使用HMAC之类的哈希算法，以即可以使用密钥对数据进行哈希。这样能够防止最终用户同时编辑数据和数字签名（哈希）。

JWT也是使用的这种数字签名的方式进行传输的。

上面的数据签名过程并不须要咱们本身去实现，咱们能够在Go中使用gorilla/securecookie的程序包来完成此操做，在该程序包中，你能够在建立SecureCookie时为其提供哈希密钥，而后使用该对象来保护你的Cookie。

对Cookie数据进行签名：

//var s = securecookie.New(hashKey, blockKey)
var hashKey = securecookie.GenerateRandomKey(64)
var s = securecookie.New(hashKey, nil)

func SetCookieHandler(w http.ResponseWriter, r *http.Request) {
  encoded, err := s.Encode("cookie-name", "cookie-value")
  if err == nil {
    cookie := &http.Cookie{
      Name:  "cookie-name",
      Value: encoded,
      Path:  "/",
    }
    http.SetCookie(w, cookie)
    fmt.Fprintln(w, encoded)
  }

解析被签名的 Cookie:

func ReadCookieHandler(w http.ResponseWriter, r *http.Request) {
  if cookie, err := r.Cookie("cookie-name"); err == nil {
    var value string
    if err = s.Decode("cookie-name", cookie.Value, &value); err == nil {
      fmt.Fprintln(w, value)
    }
  }
}

注意这里的Cookie数据未加密，仅仅是被编码了，任何人均可以把Cookie数据解码回来。

加密Cookie 数据

每当将数据存储在Cookie中时，请始终尽可能减小存储在Cookie中的敏感数据量。不要存储用户密码之类的东西，并确保任何编码数据也没有此信息。在某些状况下，开发人员在不知不觉中将敏感数据存储在Cookie或JWT中，由于它们是base64编码的，但实际上任何人均可以解码该数据。它已编码，未加密。

这是一个很大的错误，所以，若是你担忧意外存储敏感内容，建议 你使用gorilla/securecookie之类的软件包。

以前咱们讨论了如何将其用于对Cookie进行数字签名，可是securecookie也能够用于加密和解密Cookie数据，以使其没法轻松解码和读取。

要使用该软件包加密Cookie，只需在建立SecureCookie实例时传入一个blockKey便可。

将上面签名Cookie的代码片断进行一些小改动，其余地方彻底不用动，securecookie包会帮助咱们进行Cookie的加密和解密：

var hashKey = securecookie.GenerateRandomKey(64)
var blockKey = securecookie.GenerateRandomKey(32)
var s = securecookie.New(hashKey, blockKey)

总结

今天的文章除了阐述如何使用Go语言安全地传输Cookie数据外，再次格外强调一遍，编码和加密的不一样，从数据可读性上看，二者差很少，但本质上是彻底不同的：

• 编码使用公开可用的方案将数据转换为另外一种格式，以即可以轻松地将其反转。
• 加密将数据转换为另外一种格式，使得只有特定的我的才能逆转转换。

咱们在作数据传输时必定要记住二者的区别，某种意义上，我以为记住这两点的区别比你学会今天文章里怎么安全传输Cookie更重要。

前文回顾：

深刻学习用Go编写HTTP服务器

使用gorilla/mux加强Go HTTP服务器的路由能力

十分钟学会用Go编写Web中间件

Go Web编程--应用ORM

Go Web编程--深刻学习解析HTTP请求

Go Web编程--使用Go语言建立静态文件服务器