在 gin 路由器中使用现有的会话 cookie
Use existing session cookie in gin router
我正在使用 Go / Gin 构建一个简单的网络服务器,我想使用 cookie 创建一个持久会话,使用户在离开或浏览多个页面时保持登录状态。
理想情况下,流程是这样的:
- 初始化路由器
- 检查现有的 cookie
- 如果cookie存在,取cookie令牌值
- 如果 cookie 不存在,则创建一个新的随机标记值
- 使用令牌值启动会话
- 使用路由器会话
稍后的代码将验证 cookie 令牌值是否已过期 and/or 对应于数据库中的活动用户。
我最近尝试的迭代是:
router := gin.Default();
token_value := func(c *gin.Context) string {
var value string
if cookie, err := c.Request.Cookie("session"); err == nil {
value = cookie.Value
} else {
value = RandToken(64)
}
return value
}
cookie_store := cookie.NewStore([]byte(token_value))
router.Use(sessions.Sessions("session",cookie_store))
但这失败了,因为 token_value 是类型 func(c *gin.Context) 字符串,而不是字符串。
我知道我在这里缺少一些东西,我希望得到一些关于如何解决这个问题的指导。
谢谢!
演示代码大部分都在做您想要的,但有一个问题。不包含“Expires”或“Max-Age”属性的 cookie 是“会话”cookie and“客户端关闭时会话结束,会话 cookie 将被删除。”.
所以您无法成功检索现有 cookie 的原因是浏览器已将其删除(您可以使用大多数浏览器中的开发人员工具进行检查)。要解决此问题,请使用以下内容:
store := cookie.NewStore([]byte("secret"))
store.Options(sessions.Options{MaxAge: 60 * 60 * 24}) // expire in a day
此更改后,将使用适当的选项发送 cookie(并将在浏览器中保留一天,除非因用户 settings/actions 而清除):
mysession=MTYxMzg5MDc5OXxEdi1CQkFFQ180SUFBUkFCRUFBQUhQLUNBQUVHYzNSeWFXNW5EQWNBQldOdmRXNTBBMmx1ZEFRQ0FBWT18jWiVoXgauu5T16pLbinR4uYu5XakM7RSmnGHNxCzPf0=; Expires=Mon, 22 Feb 2021 06:59:59 GMT; Max-Age=86400
您可以通过将以上内容添加到 example code 来测试它,即:
package main
import (
"github.com/gin-contrib/sessions"
"github.com/gin-contrib/sessions/cookie"
"github.com/gin-gonic/gin"
)
func main() {
r := gin.Default()
store := cookie.NewStore([]byte("secret"))
store.Options(sessions.Options{MaxAge: 60 * 60 * 24}) // expire in a day
r.Use(sessions.Sessions("mysession", store))
r.GET("/incr", func(c *gin.Context) {
session := sessions.Default(c)
var count int
v := session.Get("count")
if v == nil {
count = 0
} else {
count = v.(int)
count++
}
session.Set("count", count)
session.Save()
c.JSON(200, gin.H{"count": count})
})
r.Run(":8000")
}
如果你 compile/run 然后打开 http:127.0.0.1:8000/incr 你应该会看到 {"count":0}。刷新页面几次并验证数字是否增加。现在关闭并重新打开您的浏览器并转到 http:127.0.0.1:8000/incr - 该数字应该比您关闭浏览器之前的数字高 1(表明该 cookie 在重新启动后仍然存在)。
我相信这就是您要查找的信息,但我可能误解了。请务必注意,在这种情况下,cookie 是由服务器生成的。一旦浏览器收到 cookie,它将把它包含在后续请求中(意味着服务器可以使用它)。
评论:
I'm using this to read the cookie value:
if cookie, err := c.Request.Cookie("test_session"); err == nil {
value := cookie.Value
log.Printf("Cookie value: %v",value)
}
but it doesn't match the cookie value I see in my browser.
会话存储正在为您管理 cookie;使用 session.Get(按照示例)检索它。
如果您想使用 'raw' cookie,则不应使用 store 来设置它们(使用 SetCookie)。但是请注意,您在执行此操作时需要非常小心,因为您不能相信收到的任何 cookie;最终用户编辑 cookie 的值是微不足道的(浏览器开发工具为此提供了一个很好的用户界面!)。
为了防止这种情况发生,session 编写 cookie 的编码方式可以检测它们是否已被更改(注意;如果安全是您真正关心的问题,您需要阅读文档)。这使用“身份验证”密钥(本例中为“秘密”,因此请更改它,因为知道该密钥的任何人都可以更改令牌!)。还有一个加密 cookie 内容的选项(因为用户可以很容易地提取您的 cookie 包含的信息;在大多数情况下,这不是一个大问题,但对您来说可能是个大问题)。
我正在使用 Go / Gin 构建一个简单的网络服务器,我想使用 cookie 创建一个持久会话,使用户在离开或浏览多个页面时保持登录状态。
理想情况下,流程是这样的:
- 初始化路由器
- 检查现有的 cookie
- 如果cookie存在,取cookie令牌值
- 如果 cookie 不存在,则创建一个新的随机标记值
- 使用令牌值启动会话
- 使用路由器会话
稍后的代码将验证 cookie 令牌值是否已过期 and/or 对应于数据库中的活动用户。
我最近尝试的迭代是:
router := gin.Default();
token_value := func(c *gin.Context) string {
var value string
if cookie, err := c.Request.Cookie("session"); err == nil {
value = cookie.Value
} else {
value = RandToken(64)
}
return value
}
cookie_store := cookie.NewStore([]byte(token_value))
router.Use(sessions.Sessions("session",cookie_store))
但这失败了,因为 token_value 是类型 func(c *gin.Context) 字符串,而不是字符串。
我知道我在这里缺少一些东西,我希望得到一些关于如何解决这个问题的指导。
谢谢!
演示代码大部分都在做您想要的,但有一个问题。不包含“Expires”或“Max-Age”属性的 cookie 是“会话”cookie and“客户端关闭时会话结束,会话 cookie 将被删除。”.
所以您无法成功检索现有 cookie 的原因是浏览器已将其删除(您可以使用大多数浏览器中的开发人员工具进行检查)。要解决此问题,请使用以下内容:
store := cookie.NewStore([]byte("secret"))
store.Options(sessions.Options{MaxAge: 60 * 60 * 24}) // expire in a day
此更改后,将使用适当的选项发送 cookie(并将在浏览器中保留一天,除非因用户 settings/actions 而清除):
mysession=MTYxMzg5MDc5OXxEdi1CQkFFQ180SUFBUkFCRUFBQUhQLUNBQUVHYzNSeWFXNW5EQWNBQldOdmRXNTBBMmx1ZEFRQ0FBWT18jWiVoXgauu5T16pLbinR4uYu5XakM7RSmnGHNxCzPf0=; Expires=Mon, 22 Feb 2021 06:59:59 GMT; Max-Age=86400
您可以通过将以上内容添加到 example code 来测试它,即:
package main
import (
"github.com/gin-contrib/sessions"
"github.com/gin-contrib/sessions/cookie"
"github.com/gin-gonic/gin"
)
func main() {
r := gin.Default()
store := cookie.NewStore([]byte("secret"))
store.Options(sessions.Options{MaxAge: 60 * 60 * 24}) // expire in a day
r.Use(sessions.Sessions("mysession", store))
r.GET("/incr", func(c *gin.Context) {
session := sessions.Default(c)
var count int
v := session.Get("count")
if v == nil {
count = 0
} else {
count = v.(int)
count++
}
session.Set("count", count)
session.Save()
c.JSON(200, gin.H{"count": count})
})
r.Run(":8000")
}
如果你 compile/run 然后打开 http:127.0.0.1:8000/incr 你应该会看到 {"count":0}。刷新页面几次并验证数字是否增加。现在关闭并重新打开您的浏览器并转到 http:127.0.0.1:8000/incr - 该数字应该比您关闭浏览器之前的数字高 1(表明该 cookie 在重新启动后仍然存在)。
我相信这就是您要查找的信息,但我可能误解了。请务必注意,在这种情况下,cookie 是由服务器生成的。一旦浏览器收到 cookie,它将把它包含在后续请求中(意味着服务器可以使用它)。
评论:
I'm using this to read the cookie value:
if cookie, err := c.Request.Cookie("test_session"); err == nil {
value := cookie.Value
log.Printf("Cookie value: %v",value)
}
but it doesn't match the cookie value I see in my browser.
会话存储正在为您管理 cookie;使用 session.Get(按照示例)检索它。
如果您想使用 'raw' cookie,则不应使用 store 来设置它们(使用 SetCookie)。但是请注意,您在执行此操作时需要非常小心,因为您不能相信收到的任何 cookie;最终用户编辑 cookie 的值是微不足道的(浏览器开发工具为此提供了一个很好的用户界面!)。
为了防止这种情况发生,session 编写 cookie 的编码方式可以检测它们是否已被更改(注意;如果安全是您真正关心的问题,您需要阅读文档)。这使用“身份验证”密钥(本例中为“秘密”,因此请更改它,因为知道该密钥的任何人都可以更改令牌!)。还有一个加密 cookie 内容的选项(因为用户可以很容易地提取您的 cookie 包含的信息;在大多数情况下,这不是一个大问题,但对您来说可能是个大问题)。