完成了第二小节session实现部分

astaxie · astaxie · commit c612a95519a2 · 2012-09-23T23:42:16.000+08:00
接下来讲解session劫持
diff --git a/6.2.md b/6.2.md
@@ -17,161 +17,202 @@ session的基本原理是服务端为每一个session维护一份会话信息数
 
 ##Go实现session管理
 通过上面session创建过程的讲解，读者应该对session有了一个大体的认识，但是具体到动态页面技术里面，又是怎么实现session的呢？下面我们将结合session的生命周期（lifecycle），用Go语言来实现session管理。
-###session数据结构
+###session管理设计
 我们知道session管理需要有如下几个元素
 
 - 全局session管理器
 - sessionid 全局唯一性
-- sessionid对应的存储对象数据结构 我们采用map[key]interface{}来存储
-- session过期设置
+- 每个客户生成一个session
+- session 的存储，可以存储到内存、文件、数据库等
+- session 过期处理
+
+接下来让我们一一来讲解一下Go实现session管理的整个设计思路以及相应的代码示例：
+
+###Session管理器
 
 我们就来定义一个全局的session管理器
 
 	type SessionManager struct {
-		cookieName    string       //识别cookie
-		lock          sync.Mutex   //用来锁
-		sessions      map[string]*session //用来存储
-		list 		  *list.List //用来做gc
+		cookieName  string     //private cookiename
+		lock        sync.Mutex // protects session
+		provide     Provide
+		maxlifetime int64
 	}
+	
+	func NewSessionManager(provideName, cookieName string, maxlifetime int64) (*SessionManager, error) {
+		provide, ok := provides[provideName]
+		if !ok {
+			return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName)
+		}
+		return &SessionManager{provide: provide, cookieName: cookieName, maxlifetime: maxlifetime}, nil
+	}	
 
 Go实现整个的流程应该也是这样的，在main包中创建一个全部的session管理器
 
 	var globalSessions *SessionManager
 	//然后在init函数中初始化
 	func init() {
-		globalSessions = NewSessions()
+		globalSessions = NewSessionManager("memory","gosessionid",3600)
 	}
+	
+我们知道session是保存在服务器段的数据，那么他可以以任何的方式存在起来，可以存储在内存、数据库或者文件中。那么我们就可以抽象出来Provide接口，这个接口实现session管理器底层存储的问题。
 
-接下来的例子中创建的session都是放在内存里面的，当然也可以放在存储中，这个后面会详细的讲解。
+	type Provide interface {
+		SessionInit(sid string) (Session, error)
+		SessionRead(sid string) (Session, error)
+		SessionDestroy(sid string) bool
+		SessionGC(maxlifetime int64)
+	}	
+	
+- SessionInit函数实现初始化一个Session接口，然后返回一个新的Session接口
+- SessionRead函数根据sid返回一个已经存在的Session接口，如果不存在，那么内部调用SessionInit函数返回一个新的Session接口
+- SessionDestroy函数用来销毁对应sid的Session接口
+- SessionGC根据maxlifetime来删除过期的数据	
 
-接下来我们来定义针对每个用户的session对象
+那么Session接口需要实现怎么样的功能呢？有过PHP等Web开发经验的用户来说，Session操作一般也就几个功能，设置值、读取值、删除值，那么Session接口也就这三个功能
 
-	type session strcut{
-		sid	string     //session id唯一标示
-		timeAccessed  time.Time    //最后访问时间
-		value	map[string]interface{}	   //session里面存储的值
+	type Session interface {
+		Set(key interface{}, value interface{}) //set session value
+		Get(key interface{}) interface{}        //get session value
+		Del(key interface{}) bool               //delete session value
 	}
+	
+>以上设计思路来源于database/sql/driver，定义好接口，然后session的存储实现相应的接口，这样就可以使用了，因此NewSessionManager也实现了如下功能函数Register,用来注册不同的session存储实现。
+
+	var provides = make(map[string]Provide)
+
+	// Register makes a session provide available by the provided name.
+	// If Register is called twice with the same name or if driver is nil,
+	// it panics.
+	func Register(name string, provide Provide) {
+		if driver == nil {
+			panic("session: Register provide is nil")
+		}
+		if _, dup := provides[name]; dup {
+			panic("session: Register called twice for provide " + name)
+		}
+		provides[name] = provide
+	}	
 
-###创建
-首先我们要产生一个唯一的sessionid
+###全局唯一的Session ID
+
+我们知道Session ID是用来识别每个访问Web应用的用户，因此必须保证sessionID都能有一个唯一的值，下面代码展示了如何实现这个唯一值：
 
 	func (this *SessionManager) sessionId() string {
-		var n int = 24
-		b := make([]byte, n)
-		io.ReadFull(rand.Reader, b)
-		return base64.URLEncoding.EncodeToString(b)
+		b := make([]byte, 32)
+		if _, err := io.ReadFull(rand.Reader, b); err != nil {
+			return ""
+		}
+		return string(b)
 	}
 
-那么这个sessionid什么时候创建呢？我们在启动我们的处理器的时候来进行session的创建，这里我继续前面表单处理的例子说明：
+###session创建
+每个来访问的用户我们需要为他分配Session，然后根据Session里面的数据判断用户是否已经进行了相应的操作，那么我们如何来创建Session呢？SessionStart这个函数就是用来检测用户是否已经创建了Session，如果没有就创建之。
 
-	func login(w http.ResponseWriter, r *http.Request) {
-		
-    	fmt.Println("method:", r.Method) //获取请求的方法
-    	if r.Method == "GET" {
-    	    t, _ := template.ParseFiles("login.gtpl")
-    	    t.Execute(w, nil)
-    	} else {
-    	    //请求的是登陆数据，那么执行登陆的逻辑判断
-    	    fmt.Println("username:", r.Form["username"])
-    	    fmt.Println("password:", r.Form["password"])
-    	}
-	}
-	
-	//开始一个新的sessionid
-	//先通过cookiename查询是否已经中了sessionid，然后查找这个sessionid是否还在sessions里面
-	//如果还在那么就更新timeAccessed，如果不存在就addnew一个
-	func (this *SessionManager) SessionStart() {
-		
+	func (this *SessionManager) SessionStart(w ResponseWriter, r *http.Request) (session Session) {
+		this.lock.Lock()
+		defer this.lock.Unlock()
+		cookie, err := r.Cookie(this.cookieName)
+		if err != nil || cookie.Value == "" {
+			sid := this.sessionId()
+			session = this.provide.SessionInit(sid)
+			expiration := time.Now()
+			expiration.Add(time.Duration(this.maxlifetime))
+			cookie := http.Cookie{Name: this.cookieName, Value: sid, Expires: expiration}
+			http.SetCookie(w, &cookie)
+		} else {
+			session = this.provide.SessionRead(cookie.Value)
+		}
+		return
 	}
 	
-	//销毁当前sessionid
-	func (this *SessionManager) SessionDestroy() {
-		
+我们根据前面用户登陆的操作我们来看看如何应用：
+
+	func login(w http.ResponseWriter, r *http.Request) {
+		session:=globalSessions.SessionStart(w,r)
+		fmt.Println("method:", r.Method) //获取请求的方法
+		if r.Method == "GET" {
+			if session.Get("uid").(string) != "" {
+				t, _ := template.ParseFiles("main.gtpl")
+			}else{
+				t, _ := template.ParseFiles("login.gtpl")
+			}			
+			t.Execute(w, nil)
+		} else {
+			//请求的是登陆数据，那么执行登陆的逻辑判断
+			fmt.Println("username:", r.Form["username"])
+			fmt.Println("password:", r.Form["password"])
+		}
 	}	
 	
-	//新增一个session
-	func (this *SessionManager) AddNew(key string, value map[string]interface{}) {
-		newsid :=this.sessionId()
-		newsess:=&session{"sid":newsid,"timeAccessed":time.Now(),"value":value}
-		this.sessions[key]=newsess
-		this.list.Push(newsess)
-	}
-
-###保持
-
-
 ###操作值：设置、读取和删除
-session对象需要有设置和删除操作
+SessionStart函数返回的是一个实现了设置、读取、删除接口的Session接口，那么我们如何来对数据进行操作呢？
 
-	func (this *session) Set(key string, value interface{}){
-	
-	}
-	
-	func (this *session) Get(key string){
-	
-	}
-	
-	func (this *session) Del(key string){
-	
-	}
-	
-当我们设置完值之后需要去更新相应的sessionmanager里面的值
+上面的例子已经大概的展示了读取数据的操作`session.Get("uid")`
 
-	func (this *SessionManager) update(element *list.Element, value map[string]interface{}) {
-		this.lock.Lock()
-		defer this.lock.Unlock()
-		element.Value.(*session).value = value
-		this.moveToFront(element)
-	}
+那么我们再来看看详细的操作
 
-###如何实时更新时间
-我们的session是有一定的时间限制的，那么如果用户一直在访问页面，那么我们需要实时的去更新这个时间，如何来做这一步呢？请看下面的函数处理
+	func login(w http.ResponseWriter, r *http.Request) {
+		session:=globalSessions.SessionStart(w,r)
+		fmt.Println("method:", r.Method) //获取请求的方法
+		if r.Method == "GET" {
+			if session.Get("uid").(string) != "" {
+				session.Del("password")
+				t, _ := template.ParseFiles("main.gtpl")
+			}else{
+				t, _ := template.ParseFiles("login.gtpl")
+			}			
+			t.Execute(w, nil)
+		} else {
+			//请求的是登陆数据，那么执行登陆的逻辑判断
+			fmt.Println("username:", r.Form["username"])
+			fmt.Println("password:", r.Form["password"])
+			session.Set("username",r.Form["username"])
+			session.Set("password",r.Form["password"])
+		}
+	}	
 
-	func (this *SessionManager) moveToFront(element *list.Element) {
-		this.lock.Lock()
-		defer this.lock.Unlock()
-		this.list.MoveToFront(element)
-		element.Value.(*session).timeAccessed = time.Now()
-	}
+通过上面的例子我们可以看到，这个Session的操作和操作key/value数据库类似，Set、Get、Del操作
 	
-
-###销毁
-我们来看一下Go如何来管理销毁,我们启动一个单独的goroutine来做session的销毁：
-
-	func GC() {
-		for true {
-			time.Sleep(1e9 * 60)
-			globalSessions.gc()
+我们知道Session里面有GC功能，那么只要当我们进行了相应的上面的任意一个操作，我们都需要去修改相应的Session实体的最后访问时间，这样当调用GC的时候就不会误删除还在使用的Session实体。	
+
+###session重置
+我们知道，Web应用中有用户退出这个操作，那么当用户退出应用的时候，我们是否需要进行session数据的重置，下面这个函数就是实现了这个功能：
+
+	//Destroy sessionid
+	func (this *SessionManager) SessionDestroy(w ResponseWriter, r *http.Request) {
+		cookie, err := r.Cookie(this.cookieName)
+		if err != nil || cookie.Value == "" {
+			return
+		} else {
+			this.lock.Lock()
+			defer this.lock.Unlock()
+			this.provide.SessionDestroy(cookie.Value)
+			expiration := time.Now()
+			cookie := http.Cookie{Name: this.cookieName, Expires: expiration}
+			http.SetCookie(w, &cookie)
 		}
 	}
+	
 
-	func init() {		
-		go GC()
-	}
+###session销毁
+我们来看一下Session管理器如何来管理销毁,只要我们在Main启动的时候启动：
 
+	func init() {       
+    	globalSessions.GC()
+	}
 
 	func (this *SessionManager) gc() {
 		this.lock.Lock()
 		defer this.lock.Unlock()
-		var expire int64 = 60 * 15 // 15 minutes
-		// back to front
-		for {
-			element := this.list.Back()
-			if element == nil {
-				break
-			}
-			if (element.Value.(*session).timeAccessed.Unix() + expire) < time.Now().Unix() {
-				this.list.Remove(element)
-				delete(this.table, element.Value.(*session).sid)
-			} else {
-				break
-			}
-		}
+		this.provide.GC(this.maxlifetime)
+		time.AfterFunc(this.maxlifetime, func() { this.GC() })
 	}
-
-
+	
+我们可以看到GC充分利用了time包中的定时器功能，当大于`maxlifetime`之后调用GC函数，这样就可以保证`maxlifetime`时间内的session都是可用的，这个数字其实也可以用于统计在线用户数之类的。
 
 ##总结
+通过上面的介绍我们实现了一个Session管理器，定义了Provide接口，Provide接口用来提供Session存储实现。Session管理器用来在Web应用中实现全局的Session管理，接下来我们会实现内存的一个实现方式，供大家参考学习。
 
 ## links
    * [目录](<preface.md>)
diff --git a/6.3.md b/6.3.md
@@ -1,4 +1,12 @@
 #6.3 预防session劫持
+session劫持是一种比较严重的安全威胁，也是一种广泛存在的威胁，在session技术中，客户端和服务端通过传送session的标识符来维护会话，但这个标识符很容易就能被嗅探到，从而被其他人利用，这属于一种中间人攻击。
+
+本部分通过一个实例来说明何为会话劫持，通过这个实例，读者其实更能理解session的本质。
+##session劫持过程
+
+##session劫持防范
+###cookieonly和token
+###间隔生成新的SID
 
 
 ## links
