做 Web 应用时,登录态是绕不开的话题。很多初学者会问:用户登录后,是不是把用户 ID 放到 Cookie 里?Session 和 Cookie 有什么区别?退出登录时要删什么?这些问题看似简单,但如果边界没想清楚,很容易留下安全隐患。
Cookie 是浏览器保存并随请求发送的小段数据。Session 通常是服务端保存的一份状态,浏览器只拿一个 session ID。最常见的设计是:登录成功后,服务端生成随机 session ID,把它写入 Cookie;之后请求带着 Cookie,服务端用 session ID 查用户身份。
生成 Session ID
Session ID 必须随机且不可预测:
func newSessionID() (string, error) {
var b [32]byte
if _, err := rand.Read(b[:]); err != nil {
return "", err
}
return base64.RawURLEncoding.EncodeToString(b[:]), nil
}
不要用用户 ID、时间戳或自增数字当 session ID。攻击者如果能猜到别人的 ID,就能冒充登录。随机数要用 crypto/rand,不是 math/rand。
服务端保存 Session
入门示例可以用内存 map:
type Session struct {
UserID int64
ExpiresAt time.Time
}
type SessionStore struct {
mu sync.RWMutex
sessions map[string]Session
}
func NewSessionStore() *SessionStore {
return &SessionStore{sessions: make(map[string]Session)}
}
保存:
func (s *SessionStore) Save(id string, session Session) {
s.mu.Lock()
defer s.mu.Unlock()
s.sessions[id] = session
}
读取:
func (s *SessionStore) Get(id string) (Session, bool) {
s.mu.RLock()
defer s.mu.RUnlock()
session, ok := s.sessions[id]
if !ok || time.Now().After(session.ExpiresAt) {
return Session{}, false
}
return session, true
}
内存 store 适合单进程示例。生产环境如果有多个实例,通常会把 session 放到 Redis、数据库或使用签名 token。本文先讲基础模型。
设置 Cookie
登录成功后:
func setSessionCookie(w http.ResponseWriter, sessionID string, expires time.Time) {
http.SetCookie(w, &http.Cookie{
Name: "sid",
Value: sessionID,
Path: "/",
Expires: expires,
HttpOnly: true,
Secure: true,
SameSite: http.SameSiteLaxMode,
})
}
HttpOnly 表示 JavaScript 不能读取这个 Cookie,降低 XSS 后偷取 Cookie 的风险。Secure 表示只在 HTTPS 下发送。SameSite 可以减少跨站请求带上 Cookie 的机会。生产环境应尽量开启这些属性。
开发环境如果没有 HTTPS,Secure: true 会导致浏览器不发送 Cookie。可以根据配置区分本地和生产,但不要忘记生产环境打开。
从请求读取登录态
中间件读取 Cookie:
func RequireLogin(store *SessionStore, next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
cookie, err := r.Cookie("sid")
if err != nil {
http.Error(w, "login required", http.StatusUnauthorized)
return
}
session, ok := store.Get(cookie.Value)
if !ok {
http.Error(w, "login required", http.StatusUnauthorized)
return
}
ctx := context.WithValue(r.Context(), userIDKey{}, session.UserID)
next.ServeHTTP(w, r.WithContext(ctx))
})
}
context.WithValue 要谨慎使用,适合放请求范围的小信息,比如当前用户 ID。key 不要用普通字符串,避免包之间冲突:
type userIDKey struct{}
业务 handler 可以取出:
func CurrentUserID(ctx context.Context) (int64, bool) {
id, ok := ctx.Value(userIDKey{}).(int64)
return id, ok
}
退出登录
退出时要删除服务端 session,并让浏览器 Cookie 过期:
func (s *SessionStore) Delete(id string) {
s.mu.Lock()
defer s.mu.Unlock()
delete(s.sessions, id)
}
func clearSessionCookie(w http.ResponseWriter) {
http.SetCookie(w, &http.Cookie{
Name: "sid",
Value: "",
Path: "/",
MaxAge: -1,
HttpOnly: true,
Secure: true,
SameSite: http.SameSiteLaxMode,
})
}
只删 Cookie 不删服务端 session,旧 session ID 如果被别人拿到仍可能可用。只删服务端 session 不清 Cookie,用户浏览器还会继续带一个无效 ID。两边都处理最清楚。
Cookie 里能不能直接放用户 ID
可以,但要非常谨慎。普通 Cookie 用户可以自己修改。如果你把 user_id=1 放进去,攻击者可能改成 user_id=2。除非你对 Cookie 做了签名或加密,否则不要把可信身份直接放在客户端。
Session ID 的好处是它本身没有业务含义。服务端查不到就无效,过期了也无效。即使攻击者看到一个随机 ID,也很难猜到另一个有效 ID。
测试登录中间件
测试未登录:
func TestRequireLoginRejectsMissingCookie(t *testing.T) {
store := NewSessionStore()
handler := RequireLogin(store, http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
t.Fatal("next should not be called")
}))
req := httptest.NewRequest(http.MethodGet, "/me", nil)
rec := httptest.NewRecorder()
handler.ServeHTTP(rec, req)
if rec.Code != http.StatusUnauthorized {
t.Fatalf("status = %d", rec.Code)
}
}
测试已登录:
func TestRequireLoginAllowsValidSession(t *testing.T) {
store := NewSessionStore()
store.Save("abc", Session{UserID: 7, ExpiresAt: time.Now().Add(time.Hour)})
handler := RequireLogin(store, http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
id, ok := CurrentUserID(r.Context())
if !ok || id != 7 {
t.Fatalf("user id = %d, ok = %v", id, ok)
}
w.WriteHeader(http.StatusNoContent)
}))
req := httptest.NewRequest(http.MethodGet, "/me", nil)
req.AddCookie(&http.Cookie{Name: "sid", Value: "abc"})
rec := httptest.NewRecorder()
handler.ServeHTTP(rec, req)
}
小结
Cookie 是浏览器携带数据的机制,Session 是服务端保存登录状态的模型。常见做法是 Cookie 里只放随机 session ID,服务端通过它查用户身份。Cookie 应设置 HttpOnly、Secure、SameSite,退出登录时同时删除服务端 session 和客户端 Cookie。
入门阶段不要急着自己设计复杂 token。先把 session ID、服务端存储、过期时间、退出登录和测试路径写清楚,已经能覆盖很多普通 Web 应用。
继续阅读
探索更多技术文章
浏览归档,发现更多关于系统设计、工具链和工程实践的内容。