7、后端安全与API优先开发实践

后端安全与API优先开发实践

1. 后端安全：会话与Cookie处理

1.1 会话管理与Cookie基础

在应用程序中，为了跟踪用户并确保只有授权用户可以访问，我们需要使用会话管理和Cookie。会话管理是Gorilla项目的一部分，可在 https://github.com/gorilla/sessions 找到相关代码。

Web本身是无状态的，每个请求都是独立的，这使得跟踪用户变得困难。因此，我们引入会话来存储特定用户的信息。会话存储在服务器内存中，每个用户都有一个唯一的会话。当应用程序停止运行或主动删除会话信息时，会话数据将丢失。

会话通过会话键来识别用户，这个键会被添加到Cookie头中。例如，在浏览器的开发者控制台中可以看到包含会话令牌的Cookie。在Firefox中，可以通过“Tools > Web Developer > Web Developer Tool”菜单打开开发者控制台；在Chrome中，可以使用“Ctrl + Shift + J”打开。

1.2 会话验证与认证检查

以下是用于检查会话是否有效的 sessionValid 函数：

//sessionValid check whether the session is a valid session
func sessionValid(w http.ResponseWriter, r *http.Request) bool