本文介绍了如何在Go语言中实现session管理,包括session创建过程、设计原则(如全局管理器、唯一标识、存储方式和过期处理),并展示了如何通过Provider和Session接口实现不同存储机制。
文章目录
代码地址:https://gitee.com/lymgoforIT/golang-trick/tree/master/25-session
通过上一小节的介绍,我们知道session是在服务器端实现的一种用户和服务器之间认证的解决方案,这小节我们将会自己动手来实现go版本的session管理和创建。
在go语言中,其实已经有开源session包 github.com/gorilla/sessions,但是为什么我们还要自己实现session管理器呢?
- 熟悉
session和cookie也是完全有必要的,但实际工作中基本也不怎么用session了,一般都用jwt - 通过自己实现
session,能对session了解的更深,也能学到很多的编码设计和编码技巧
一、session创建过程
session的基本原理是由服务器为每个会话维护一份信息数据,客户端和服务端依靠一个全局唯一的标识(sessionid)来访问这份数据,以达到交互的目的。当用户访问Web应用时,服务端程序会随需要创建session,这个过程可以概括为三个步骤:
- 生成全局唯一标识符(sessionid);
- 开辟数据存储空间。一般会在内存中创建相应的数据结构,但这种情况下,系统一旦掉电,所有的会话数据就会丢失,如果是电子商务类网站,这将造成严重的后果。所以为了解决这类问题,你可以将会话数据写到文件里或存储在数据库以及
redis中,当然这样会增加I/O开销,但是它可以实现某种程度的session持久化,也更有利于session的共享; - 将session的全局唯一标示符发送给客户端。
以上三个步骤中,最关键的是如何发送这个session的唯一标识这一步上。考虑到HTTP协议的定义,数据无非可以放到请求行、头域或Body里,所以一般来说会有两种常用的方式:cookie和URL重写。
Cookie服务端通过设置Set-cookie头就可以将session的标识符传送到客户端,而客户端此后的每一次请求都会带上这个标识符,另外一般包含session信息的cookie会将失效时间设置为0(会话cookie),即浏览器进程有效时间。至于浏览器怎么处理这个0,每个浏览器都有自己的方案,但差别都不会太大(一般体现在新建浏览器窗口的时候);URL重写: 所谓URL重写,就是在返回给用户的页面里的所有的URL后面追加session标识符,这样用户在收到响应之后,无论点击响应页面里的哪个链接或提交表单,都会自动带上session标识符,从而就实现了会话的保持。虽然这种做法比较麻烦,但是,如果客户端禁用了cookie的话,此种方案将会是首选。
二、Go实现session管理
通过上面session创建过程的讲解,我们对session有了一个大体的认识,但是具体到动态页面技术里面,又是怎么实现session的呢?下面我们将结合session的生命周期(lifecycle),来实现go语言版本的session管理。
session管理设计
我们知道session管理涉及到如下五个因素
- 全局
session管理器 - 保证
sessionid的全局唯一性 - 为每个客户关联一个
session session的存储(可以存储到内存、文件、数据库等)session过期处理
接下来讲解一下关于session管理的整个设计思路以及相应的go代码示例
1. 全局session管理器
定义一个全局的session管理器
package session
import (
"crypto/rand"
"encoding/base64"
"fmt"
"io"
"sync"
)
type Manager struct {
// private cookieName用于客户端标志某链接下的cookie,服务端则通过这个name取出session_id,然后获取对应的session内容
cookieName string
lock sync.Mutex // protects session
provider Provider // session的提供方式可能多种多样,有多种实现方式,故定义Provider接口
maxlifetime int64
}
var provides = make(map[string]Provider)
// Register makes a session provide available by the provided name.
// If Register is called twice with the same name or if driver is nil,
// it panics.
func Register(name string, provider Provider) {
if provider == nil {
panic(any("session: Register provide is nil"))
}
if _, dup := provides[name]; dup {
panic(any("session: Register called twice for provide " + name))
}
provides[name] = provider
}
func NewManager(provideName, cookieName string, maxlifetime int64) (*Manager, error) {
provider, ok := provides[provideName]
if !ok {
return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName)
}
return &Manager{provider: provider, cookieName: cookieName, maxlifetime: maxlifetime}, nil
上面代码中,我们定义了session管理器Manager结构体,并提供了创建方法,其中使用到了表驱动法(map方式的工厂模式 + 策略模式),根据提供的provideName让Manager使用不同的session提供方。
我们知道session是保存在服务器端的数据,它可以以任何的方式存储,比如存储在内存、数据库或者文件中。因此我们抽象出一个Provider接口,用以表征session管理器底层存储结构。
package session
type Provider interface {
SessionInit(sid string) (Session, error)
SessionRead(sid string) (Session, error)
SessionDestroy(sid string) error
SessionGC(maxLifeTime int64)
}
SessionInit函数实现Session的初始化,操作成功则返回此新的Session变量SessionRead函数返回sid所代表的Session变量,如果不存在,那么将以sid为参数调用SessionInit函数创建并返回一个新的Session变量SessionDestroy函数用来销毁sid对应的Session变量SessionGC根据maxLifeTime来删除过期的数据
那么Session接口需要实现什么样的功能呢?有过Web开发经验的读者知道,对Session的处理基本就 设置值、读取值、删除值以及获取当前sessionID这四个操作,所以我们的Session接口也就实现这四个操作。
package session
type Session interface {
Set(key, value interface{}) error //set session value
Get(key interface{}) interface{} //get session value
Delete(key interface{}) error //delete session value
SessionID() string //back current sessionID
}
以上面向接口的设计思路来源于database/sql/driver,先定义好接口,然后具体的存储session的结构实现相应的接口并注册后,相应功能就可以使用了,方便扩展。这种面向接口编程是一个非常重要的编码思想,应该熟练掌握并使用。
2. 保证sessionid 的全局唯一性
Session ID是用来识别访问Web应用的每一个用户,因此必须保证它是全局唯一的(GUID),实际工作中常用雪花算法或者公司自研的ID生成器下面代码展示了如何满足这一需求。注:它是管理器Manager的方法:
func (manager *Manager) sessionId() string {
b := make([]byte, 32)
if _, err := io.ReadFull(rand.Reader, b); err != nil {
return ""
}
return base64.URLEncoding.EncodeToString(b)
}
3. 为每个客户端关联一个session
我们需要为每个来访用户分配或获取与他相关连的Session,以便后面根据Session信息来验证操作。SessionStart这个函数就是用来检测是否已经有某个Session与当前来访用户发生了关联,如果没有则创建之。注:它是管理器Manager的方法,此外这里可能存在创建session的过程,避免并发,故使用了加锁操作。
func (manager *Manager) SessionStart(w http.ResponseWriter, r *http.Request) (session Session) {
manager.lock.Lock()
defer manager.lock.Unlock()
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
sid := manager.sessionId() // 生成sessionId
session, _ = manager.provider.SessionInit(sid)
cookie := http.Cookie{Name: manager.cookieName, Value: url.QueryEscape(sid), Path: "/", HttpOnly: true, MaxAge: int(manager.maxlifetime)}
http.SetCookie(w, &cookie)
} else {
sid, _ := url.QueryUnescape(cookie.Value) // 从cookie的内容中解析出sid
session, _ = manager.provider.SessionRead(sid) // 获取sid对应的session
}
return
}
4. session的重置(退出登录)
我们知道,Web应用中有用户退出这个操作,那么当用户退出应用的时候,我们需要对该用户的session数据进行销毁操作,退出登录请求的handler处理逻辑中,返回空sessionId,便是重置了客户端sessionId为空了,注:它是管理器Manager的方法
//Destroy sessionid 实际取名为SessionReset更合适
func (manager *Manager) SessionDestroy(w http.ResponseWriter, r *http.Request){
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
return
} else {
manager.lock.Lock()
defer manager.lock.Unlock()
manager.provider.SessionDestroy(cookie.Value)
expiration := time.Now()
cookie := http.Cookie{Name: manager.cookieName, Path: "/", HttpOnly: true, Expires: expiration, MaxAge: -1}
http.SetCookie(w, &cookie)
}
}
5. session 过期处理(销毁)
session销毁
我们来看一下Session管理器如何来管理销毁,只要我们在Main启动的时候启动:
package session
var globalSessions *Manager
//然后在init函数中初始化
func init() {
// 实际工作中这里的provideName, cookieName, maxlifetime都应该按实际情况传入,这里为了演示直接写死了
globalSessions, _ = NewManager("memory","gosessionid",3600)
go globalSessions.GC()
}
func (manager *Manager) GC() {
manager.lock.Lock()
defer manager.lock.Unlock()
// manager只是管理者,实际干活做销毁工作的是具体的provider完成的
manager.provider.SessionGC(manager.maxlifetime)
// 每隔manager.maxlifetime,manager再次调用自身的GC方法进行一轮GC
time.AfterFunc(time.Duration(manager.maxlifetime), func() { manager.GC() })
}
我们定义了globalSessions 变量,并在session包init函数中初始化了它,然后开启协程,每隔maxlifetime便GC一次。
我们可以看到GC充分利用了time包中的定时器功能,当超时maxLifeTime之后调用GC函数,这样就可以保证maxLifeTime时间内的session都是可用的,类似的方案也可以用于统计在线用户数之类的。
三、总结
至此 我们实现了一个用来在Web应用中全局管理Session的SessionManager,定义了用来提供Session存储实现Provider的接口,下一小节,我们将会通过接口定义来实现一些Provider,供大家参考学习。
本次文件结构如下(主要就是定义了Manager管理器以及Provider和Session接口):
三个文件的完整代码
manager.go
package session
import (
"crypto/rand"
"encoding/base64"
"fmt"
"io"
"net/http"
"net/url"
"sync"
"time"
)
var globalSessions *Manager
// 然后在init函数中初始化
func init() {
globalSessions, _ = NewManager("memory", "gosessionid", 3600)
go globalSessions.GC()
}
type Manager struct {
cookieName string // private cookieName用于客户端标志某链接下的cookie,服务端则通过这个name取出session_id,然后获取对应的session内容
lock sync.Mutex // protects session
provider Provider // session的提供方式可能多种多样,有多种实现方式,故定义Provider接口
maxlifetime int64
}
var provides = make(map[string]Provider)
// Register makes a session provide available by the provided name.
// If Register is called twice with the same name or if driver is nil,
// it panics.
func Register(name string, provider Provider) {
if provider == nil {
panic(any("session: Register provide is nil"))
}
if _, dup := provides[name]; dup {
panic(any("session: Register called twice for provide " + name))
}
provides[name] = provider
}
func NewManager(provideName, cookieName string, maxlifetime int64) (*Manager, error) {
provider, ok := provides[provideName]
if !ok {
return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName)
}
return &Manager{provider: provider, cookieName: cookieName, maxlifetime: maxlifetime}, nil
}
func (manager *Manager) sessionId() string {
b := make([]byte, 32)
if _, err := io.ReadFull(rand.Reader, b); err != nil {
return ""
}
return base64.URLEncoding.EncodeToString(b)
}
func (manager *Manager) SessionStart(w http.ResponseWriter, r *http.Request) (session Session) {
manager.lock.Lock()
defer manager.lock.Unlock()
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
sid := manager.sessionId() // 生成sessionId
session, _ = manager.provider.SessionInit(sid)
cookie := http.Cookie{Name: manager.cookieName, Value: url.QueryEscape(sid), Path: "/", HttpOnly: true, MaxAge: int(manager.maxlifetime)}
http.SetCookie(w, &cookie)
} else {
sid, _ := url.QueryUnescape(cookie.Value) // 从cookie的内容中解析出sid
session, _ = manager.provider.SessionRead(sid) // 获取sid对应的session
}
return
}
// Destroy sessionid 实际取名为SessionReset更合适
func (manager *Manager) SessionDestroy(w http.ResponseWriter, r *http.Request) {
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
return
} else {
manager.lock.Lock()
defer manager.lock.Unlock()
manager.provider.SessionDestroy(cookie.Value)
expiration := time.Now()
cookie := http.Cookie{Name: manager.cookieName, Path: "/", HttpOnly: true, Expires: expiration, MaxAge: -1}
http.SetCookie(w, &cookie)
}
}
func (manager *Manager) GC() {
manager.lock.Lock()
defer manager.lock.Unlock()
// manager只是管理者,实际干活做销毁工作的是具体的provider完成的
manager.provider.SessionGC(manager.maxlifetime)
// 每隔manager.maxlifetime,manager再次调用自身的GC方法进行一轮GC
time.AfterFunc(time.Duration(manager.maxlifetime), func() { manager.GC() })
}
provider.go
package session
type Provider interface {
// 实现Session的初始化,操作成功则返回此新的Session变量
SessionInit(sid string) (Session, error)
// 返回sid所代表的Session变量,如果不存在,那么将以sid为参数调用SessionInit函数创建并返回一个新的Session变量
SessionRead(sid string) (Session, error)
// 用来销毁sid对应的Session变量
SessionDestroy(sid string) error
// 根据maxLifeTime来删除过期的数据
SessionGC(maxLifeTime int64)
}
session.go
package session
type Session interface {
Set(key, value interface{}) error //set session value
Get(key interface{}) interface{} //get session value
Delete(key interface{}) error //delete session value
SessionID() string //back current sessionID
}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
