5-gin会话控制cookie和session

[toc]

cookie是什么?

  • http是无状态协议,服务器不能记录浏览器的访问状态,也就是说服务器不能区分两次请求是否由同一个客户端发出
  • cookie就是解决http协议无状态的方案之一
  • Cookie实际上就是服务器保存在浏览器上的一段信息。浏览器有了Cookie之后,每次向服务器发送请求时都会同时将该信息发送给服务器,服务器收到请求后,就可以根据该信息处理请求
  • cookie由服务器创建,并发送给浏览器,最终由浏览器保存

cookie的用途

  • 保存用户登录状态
  • 京东购物车,保存购物车信息

cookie的使用

  • 测试服务端发送cookie给客户端,客户端请求时携带cookie
package main
import (
	"fmt"
	"github.com/gin-gonic/gin"
)

func main() {
	r:=gin.Default()
	// 服务端要给客户端cookie
	r.GET("cookie",func(c *gin.Context){
		// 获取客户端是否携带cookie
		cookie,err := c.Cookie("key_cookie")
		if err !=nil{
			// 设置cookie
			c.SetCookie(
				"key_cookie", // 设置cookie的key
				"value_cookie", // 设置cookie的值
				60, // 过期时间
				"/", // 所在目录
				"127.0.0.1",  //域名
				false,  // 是否只能通过https访问
				true) // 是否允许别人通过js获取自己的cookie
		}
		fmt.Println("cookie的值是:",cookie)
	})
	r.Run(":8000")
}

cookie的练习

使用cookie,模拟实现权限验证中间件

package main

import (
	"github.com/gin-gonic/gin"
	"net/http"
)
//1. 有俩个路由,login和home
//2. login用于设置cookie
//3. home是访问查看信息的请求
//4. 在请求home之前,先跑中间件代码,检验是否存在cookie
//5. 如果没有login设置cookie,就直接访问home,会显示无权限,因为权限校验没有通过

// 权限校验中间件
func authMiddleWare() gin.HandlerFunc{
	return func(c *gin.Context){
		// 获取客户端cookie并校验
		if cookie,err := c.Cookie("auth");err ==nil{
			if cookie == "true"{ //校验是否有key为auth,value为true的cookie
				c.Next()
				return
			}
		}
		// 否则就返回无权限
		c.JSON(http.StatusUnauthorized,gin.H{"message":"操作非法"})
		// 如果验证不通过,不在调用后续的函数处理,直接从中间件就返回请求
		c.Abort()
		return
	}
}

func main() {
	r:=gin.Default()
	// 服务端要给客户端cookie
	r.GET("/login",func(c *gin.Context){
		// 设置cookie
		c.SetCookie(
			"auth", // 设置cookie的key
			"true", // 设置cookie的值
			60, // 过期时间
			"/", // 所在目录
			"127.0.0.1",  //域名
			false,  // 是否只能通过https访问
			true) // 是否允许别人通过js获取自己的cookie
	})

	r.GET("/home",authMiddleWare(),func(c *gin.Context){
		c.JSON(200,gin.H{"message":"登录成功"})
	})
	r.Run(":8000")
}

cookie的缺点

  • 不安全,明文

  • 增加带宽消耗

  • 可以被禁用

  • cookie有上限

session是什么?

  • session可以弥补cookie的不足,session必须依赖于cookie才能使用,生成一个sessionId放到cookie里面传递给客户端

session和cookie的区别

  1. Cookie 在客户端(浏览器),Session 在服务器端。
  2. Cookie的安全性一般,他人可通过分析存放在本地的Cookie并进行Cookie欺骗。在安全性第一的前提下,选择Session更优。重要交互信息比如权限等就要放在Session中,一般的信息记录放Cookie就好了。
  3. 单个Cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个Cookie。
  4. Session 可以放在 文件、数据库或内存中,比如在使用Node时将Session保存在redis中。由于一定时间内它是保存在服务器上的,当访问增多时,会较大地占用服务器的性能。考虑到减轻服务器性能方面,应当适时使用Cookie。
  5. Session 的运行依赖Session ID,而 Session ID 是存在 Cookie 中的,也就是说,如果浏览器禁用了 Cookie,Session 也会失效(但是可以通过其它方式实现,比如在 url 中传递 Session ID)。
  6. 用户验证这种场合一般会用 Session。因此,维持一个会话的核心就是客户端的唯一标识,即Session ID。

session中间件开发

设计一个通用的session服务,支持内存存储和redis存储

session模块设计:

  1. 本质上k-v系统,同key进行增删改查 2. session可以存储在内存和redis

session服务的关系图

你可能感兴趣的:(5-gin会话控制cookie和session)