利用现有的会话 cookie 在 gin 路由器中实现用户身份验证

大家好，我们又见面了啊~本文《利用现有的会话 cookie 在 gin 路由器中实现用户身份验证》的内容中将会涉及到等等。如果你正在学习Golang相关知识，欢迎关注我，以后会给大家带来更多Golang相关文章，希望我们能一起进步！下面就开始本文的正式内容~

我正在 go / gin 中构建一个简单的网络服务器，我想使用 cookie 来创建一个持久会话，以便在用户离开或跨多个页面导航时保持用户登录状态。

理想情况下，流程如下：

• 初始化路由器
• 检查现有 cookie
  • 如果 cookie 存在，则获取 cookie 令牌值
  • 如果 cookie 不存在，则创建一个新的随机令牌值
• 使用令牌值启动会话
• 使用与路由器的会话

稍后的代码将验证 cookie 令牌值是否已过期和/或对应于数据库中的活动用户。

我尝试过的最新迭代是：

router := gin.Default();

token_value := func(c *gin.Context) string {

    var value string

    if cookie, err := c.Request.Cookie("session"); err == nil {
      value = cookie.Value
    } else {
      value = RandToken(64)
    }
    return value
  }

  cookie_store := cookie.NewStore([]byte(token_value))
  router.Use(sessions.Sessions("session",cookie_store))

但这会失败，因为 token_value 是 func(c *gin.context) 字符串类型，而不是字符串。

我知道我在这里缺少一些东西，并且我希望获得一些有关如何解决此问题的指导。

谢谢！

解决方案

演示代码主要是做你想做的事情，但有一个问题。不包含“expires”或“max-age”属性的 cookie 是“会话”cookie and“会话在客户端关闭时结束，会话 cookie 将被删除。”。

因此，您未能成功检索现有 cookie 的原因是浏览器已将其删除（您可以使用大多数浏览器中的开发人员工具进行检查）。要解决此问题，请使用以下内容：

store := cookie.newstore([]byte("secret"))
store.options(sessions.options{maxage:   60 * 60 * 24}) // expire in a day

在此更改之后，cookie 将使用适当的选项发送（并将在浏览器上保留一天，除非由于用户设置/操作而清除）：

mysession=mtyxmzg5mdc5oxxedi1cqkffq180sufbukfcrufbquhqlunbquvhyznsewfxnw5eqwnbqldodmrxntbbmmx1zefrq0fbwt18jwivoxgauu5t16plbinr4uyu5xakm7rsmnghnxczpf0=；过期=2021 年 2 月 22 日星期一 06:59:59 gmt；最大年龄=86400

您可以通过将上述内容添加到 example code 来测试这一点，即：

package main

import (
"github.com/gin-contrib/sessions"
"github.com/gin-contrib/sessions/cookie"
"github.com/gin-gonic/gin"
)

func main() {
    r := gin.default()
    store := cookie.newstore([]byte("secret"))
    store.options(sessions.options{maxage:   60 * 60 * 24}) // expire in a day
    r.use(sessions.sessions("mysession", store))

    r.get("/incr", func(c *gin.context) {
        session := sessions.default(c)
        var count int
        v := session.get("count")
        if v == nil {
            count = 0
        } else {
            count = v.(int)
            count++
        }
        session.set("count", count)
        session.save()
        c.json(200, gin.h{"count": count})
    })
    r.run(":8000")
}

如果您编译/运行它，然后打开 http:127.0.0.1:8000/incr 您应该看到 {"count":0}。刷新页面几次并验证数字是否增加。现在关闭并重新打开您的浏览器，然后转到 http:127.0.0.1:8000/incr - 该数字应该比您关闭浏览器之前的数字大 1（证明 cookie 在重新启动后仍然存在）。

我相信这是您正在寻找的信息，但我可能误解了。需要注意的是，在这种情况下，cookie 是由服务器生成的。一旦浏览器收到 cookie，它就会将其包含在后续请求中（意味着服务器可以使用它）。

对于评论：

我用它来读取 cookie 值：

if cookie, err := c.Request.Cookie("test_session"); err == nil {       
    value := cookie.Value
    log.Printf("Cookie value: %v",value) 
}

但它与我在浏览器中看到的 cookie 值不匹配。

会话存储正在为您管理cookie；使用 session.get （按照示例）检索它。

如果您想使用“原始”cookie，那么您不应该使用 store 来设置它们（使用 SetCookie）。但请注意，执行此操作时需要非常小心，因为您不能信任收到的任何 cookie；对于最终用户来说，编辑 cookie 的值很简单（浏览器开发工具为此提供了一个很好的用户界面！）。

为了防止这种情况，session 编写的 cookie 编码方式可以检测它们是否已被更改（需要注意的是；如果安全确实是一个问题，您需要阅读文档）。这使用“身份验证”密钥（本例中为“秘密”，因此请更改它，因为任何知道该密钥的人都可以更改令牌！）。还有一个选项可以加密 cookie 内容（因为用户很容易提取 cookie 中包含的信息；在大多数情况下，这不是一个大问题，但对您来说可能是个问题）。

今天带大家了解了的相关知识，希望对你有所帮助；关于Golang的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~