在 gin 路由器中使用现有的会话 cookie

如何解决在 gin 路由器中使用现有的会话 cookie

我正在用 Go / Gin 构建一个简单的网络服务器，我想使用 cookie 创建一个持久会话，如果用户离开或浏览多个页面，则该会话保持登录状态。

理想情况下，流程如下：

初始化路由器
检查现有的 cookie
- 如果存在 cookie，则获取 cookie 令牌值
- 如果 cookie 不存在，则创建一个新的随机令牌值
使用令牌值启动会话
使用与路由器的会话

稍后的代码将验证 cookie 令牌值是否已过期和/或对应于数据库中的活动用户。

我尝试过的最近一次迭代是：

router := gin.Default();

token_value := func(c *gin.Context) string {

    var value string

    if cookie,err := c.Request.Cookie("session"); err == nil {
      value = cookie.Value
    } else {
      value = RandToken(64)
    }
    return value
  }

  cookie_store := cookie.NewStore([]byte(token_value))
  router.Use(sessions.Sessions("session",cookie_store))

但这失败了，因为 token_value 是类型 func(c *gin.Context) 字符串，而不是字符串。

我知道我在这里遗漏了一些东西，我希望得到一些有关如何解决此问题的指导。

谢谢！

解决方法

演示代码主要是在做你想做的事，但有一个问题。不包含“Expires”或“Max-Age”属性的 cookie 是“会话”cookie and“当客户端关闭时会话结束，会话 cookie 将被删除。”。

因此，您没有成功检索现有 cookie 的原因是浏览器已将其删除（您可以在大多数浏览器中使用开发人员工具进行检查）。要解决此问题，请使用以下内容：

store := cookie.NewStore([]byte("secret"))
store.Options(sessions.Options{MaxAge:   60 * 60 * 24}) // expire in a day

在此更改之后，cookie 将与适当的选项一起发送（并且将在浏览器上保留一天，除非由于用户设置/操作而被清除）：

mysession=MTYxMzg5MDc5OXxEdi1CQkFFQ180SUFBUkFCRUFBQUhQLUNBQUVHYzNSeWFXNW5EQWNBQldOdmRXNTBBMmx1ZEFRQ0FBWT18jWiVoXgauu5T16pLbinR4uYu5XakM7RSmnGHNxCzPf0=; Expires=Mon,22 Feb 2021 06:59:59 GMT; Max-Age=86400

您可以通过将上述内容添加到 example code 中来进行测试，即：

package main

import (
"github.com/gin-contrib/sessions"
"github.com/gin-contrib/sessions/cookie"
"github.com/gin-gonic/gin"
)

func main() {
    r := gin.Default()
    store := cookie.NewStore([]byte("secret"))
    store.Options(sessions.Options{MaxAge:   60 * 60 * 24}) // expire in a day
    r.Use(sessions.Sessions("mysession",store))

    r.GET("/incr",func(c *gin.Context) {
        session := sessions.Default(c)
        var count int
        v := session.Get("count")
        if v == nil {
            count = 0
        } else {
            count = v.(int)
            count++
        }
        session.Set("count",count)
        session.Save()
        c.JSON(200,gin.H{"count": count})
    })
    r.Run(":8000")
}

如果你编译/运行它然后打开 http:127.0.0.1:8000/incr 你应该看到 "{"count":0}";刷新页面几次并验证数字是否增加。现在关闭并重新打开您的浏览器并转到 http:127.0.0.1:8000/incr - 该数字应该比您关闭浏览器之前的数字高 1（证明 cookie 在重新启动后仍然存在）。

我相信这就是您要查找的信息，但我可能误解了。需要注意的是，在这种情况下，cookie 是由服务器生成的。浏览器收到 cookie 后，会将其包含在后续请求中（这意味着服务器可以使用它）。

我用它来读取 cookie 值：if cookie,err := c.Request.Cookie("test_session"); err == nil { value := cookie.Value log.Printf("Cookie value: %v",value) } 但它与我在浏览器中看到的 cookie 值不匹配。

会话存储正在为您管理 cookie；使用 session.Get（按照示例）来检索它。

如果您想使用“原始”cookie，那么您不应该使用 store 来设置它们（使用 SetCookie）。但请注意，您在执行此操作时需要非常小心，因为您不能相信收到的任何 cookie；最终用户编辑 cookie 的值很简单（浏览器开发工具为此提供了一个很好的用户界面！）。

为了防止这种情况，session 以一种可以检测它们是否已被更改的方式编写 cookie（有警告；如果安全是一个真正的问题，您需要阅读文档）。这使用“身份验证”密钥（在本例中为“秘密”，因此更改，因为任何知道密钥的人都可以更改令牌！）。还有一个选项可以加密 cookie 内容（因为它很容易让用户提取您的 cookie 包含的信息；在大多数情况下，这不是一个大问题，但可能对您来说）。