通过上一小节的介绍,我们知道session是在服务器端实现的一种用户和服务器之间认证的解决方案,目前Go标准包没有为session提供任何支持,这小节我们将会自己动手来实现go版本的session管理和创建。
session的基本原理是由服务器为每个会话维护一份信息数据,客户端和服务端依靠一个全局唯一的标识来访问这份数据,以达到交互的目的。当用户访问Web应用时,服务端程序会随需要创建session,这个过程可以概括为三个步骤:
- 生成全局唯一标识符(sessionid)
- 开辟数据存储空间。一般会在内存中创建相应的数据结构,但这种情况下,系统一旦掉电,所有的会话数据就会丢失,如果是电子商务类网站,这将造成严重的后果。所以为了解决这类问题,你可以将会话数据写到文件里或存储在数据库中,当然这样会增加I/O开销,但是它可以实现某种程度的session持久化,也更有利于session的共享
- 将session的全局唯一标示符发送给客户端
以上三个步骤中,最关键的是如何发送这个session的唯一标识这一步上。考虑到HTTP协议的定义,数据无非可以放到请求行、头域或Body里,所以一般来说会有两种常用的方式:cookie和URL重写。
- Cookie 服务端通过设置Set-cookie头就可以将session的标识符传送到客户端,而客户端此后的每一次请求都会带上这个标识符,另外一般包含session信息的cookie会将失效时间设置为0(会话cookie),即浏览器进程有效时间。至于浏览器怎么处理这个0,每个浏览器都有自己的方案,但差别都不会太大(一般体现在新建浏览器窗口的时候)
- URL重写 所谓URL重写,就是在返回给用户的页面里的所有的URL后面追加session标识符,这样用户在收到响应之后,无论点击响应页面里的哪个链接或提交表单,都会自动带上session标识符,从而就实现了会话的保持。虽然这种做法比较麻烦,但是,如果客户端禁用了cookie的话,此种方案将会是首选
通过上面session创建过程的讲解,读者应该对session有了一个大体的认识,但是具体到动态页面技术里面,又是怎么实现session的呢?下面我们将结合session的生命周期(lifecycle),来实现go语言版本的session管理。
我们知道session管理涉及到如下几个因素
- 全局session管理器
- 保证sessionid 的全局唯一性
- 为每个客户关联一个session
- session 的存储(可以存储到内存、文件、数据库等)
- session 过期处理
接下来我将讲解一下我关于session管理的整个设计思路以及相应的go代码示例:
定义一个全局的session管理器
type SessionManager struct {
// private cookie name
cookieName string
// protects session
lock sync.Mutex
provider Provider
maxLifeTime int64
}
//NewManager is a factory function to create SessionManager
func NewManager(providerName, cookieName string, maxLifeTime int64) (*SessionManager, error) {
provider, ok := providers[providerName]
if !ok {
return nil, fmt.Errorf("session: unkown provide %q (forgotten import ?)", providerName)
}
return &SessionManager{provider: provider, cookieName: cookieName, maxLifeTime: maxLifeTime}, nil
}在main包中创建一个全局的session管理器,并且在init()函数中初始化
//Global Session Manager
//全局Session 管理器
var globalSessions *mysession.SessionManager
//initiate global session manager
//初始化全局session管理器
func init() {
globalSessions, _ = mysession.NewManager("memory", "goseesionid", 3600)
}session是保存在服务器端的数据,可以任何方式存储(内存,数据库,文件等)。因此可以抽象出一个接口Provider用于表征Session管理器的底层存储结构
//Provide 抽象出session的存储方式(内存,文件,数据库等)
type Provider interface {
//Initate session
SessionInit(sid string) (Session, error)
//return session
SessionRead(sid string) (Session, error)
//Destroy Session
SessionDestroy(sid string) error
//Expired Session collect
SessionGc(maxLifeTime int64)
}- SessionInit : 实现Session的初始化,操作成功后返回新的Session变量
- SessionRead : 返回sid代表的Session变量;若Session不存在则调用SessionInit()创建并返回新的Session
- SessionDestory : 销毁sid对应的Session变量
- SessionGC : 根据maxLifeTime来删除过期的数据
对于Session的操作常用的是设置,读取,删除和获取sessionID,抽象的接口如下:
//Session 抽象出Session的操作方式
type Session interface {
//Set session value
Set(key, value interface{}) error
//Get session value
Get(key interface{}) interface{}
//Delete session value
Delete(key interface{}) error
//return currnet seesionID
SessionID() string
}以下是注册session存储方式的函数:
//Session的存储方式,map形式
var providers = make(map[string]Provider)
//Register makes a seesion provider available by the provided name
//If Register is called twice with the same name or if driver is nil
//it panics
func Register(name string, provider Provider) {
if provider == nil {
panic("session: Register provider is nil")
}
if _, dup := providers[name]; dup {
panic("session: Register called twice for provide " + name)
}
providers[name] = provider
}Session ID用于识别访问Web应用中的每一个用户,必须保证其全局唯一(GUID)
//sessionId insure sessionId is unique
//返回全局唯一的Session ID
func (manager *SessionManager) sessionId() string {
b := make([]byte, 32)
//rand.Read(b) 向slice b中写入随机数
if _, err := rand.Read(b); err != nil {
return ""
}
//将slice b中的byte编码为base64格式
return base64.URLEncoding.EncodeToString(b)
}针对每个访问用户需要为其分配Session或者获取与之关联的Sesison,以便后续的操作
//SessionStart create a session
func (manager *SessionManager) SessionStart(
w http.ResponseWriter,
r *http.Request) (session Session) {
manager.lock.Lock()
defer manager.lock.Unlock()
//从cookie中获取session ID
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
//generate a session ID
sid := manager.sessionId()
//initiate seesion with Session ID
session, _ = manager.provider.SessionInit(sid)
//generate cookie
cookie := http.Cookie{
Name: manager.cookieName,
Value: url.QueryEscape(sid),
Path: "/", HttpOnly: true,
MaxAge: int(manager.maxLifeTime)}
//set cookie
http.SetCookie(w, &cookie)
} else {
sid, _ := url.QueryUnescape(cookie.Value)
session, _ = manager.provider.SessionRead(sid)
}
return
}设置、读取和删除
SessionStart函数返回的是一个满足Session接口的变量,那么我们该如何用他来对session数据进行操作呢?
上面的例子中的代码session.Get("uid")已经展示了基本的读取数据的操作,现在我们再来看一下详细的操作:
func count(w http.ResponseWriter, r *http.Request) {
sess := globalSessions.SessionStart(w, r)
createtime := sess.Get("createtime")
if createtime == nil {
sess.Set("createtime", time.Now().Unix())
} else if (createtime.(int64) + 360) < (time.Now().Unix()) {
globalSessions.SessionDestroy(w, r)
sess = globalSessions.SessionStart(w, r)
}
ct := sess.Get("countnum")
if ct == nil {
sess.Set("countnum", 1)
} else {
sess.Set("countnum", (ct.(int) + 1))
}
t, _ := template.ParseFiles("count.gtpl")
w.Header().Set("Content-Type", "text/html")
t.Execute(w, sess.Get("countnum"))
}通过上面的例子可以看到,Session的操作和操作key/value数据库类似:Set、Get、Delete等操作
因为Session有过期的概念,所以我们定义了GC操作,当访问过期时间满足GC的触发条件后将会引起GC,但是当我们进行了任意一个session操作,都会对Session实体进行更新,都会触发对最后访问时间的修改,这样当GC的时候就不会误删除还在使用的Session实体。
Session重置
当用户退出应用时,需要对用户的session数据进行销毁操作
//Destroy sessionid
func (manager *Manager) SessionDestroy(w http.ResponseWriter, r *http.Request){
cookie, err := r.Cookie(manager.cookieName)
if err != nil || cookie.Value == "" {
return
} else {
manager.lock.Lock()
defer manager.lock.Unlock()
manager.provider.SessionDestroy(cookie.Value)
expiration := time.Now()
cookie := http.Cookie{Name: manager.cookieName, Path: "/", HttpOnly: true, Expires: expiration, MaxAge: -1}
http.SetCookie(w, &cookie)
}
}session销毁
我们来看一下Session管理器如何来管理销毁,只要我们在Main启动的时候启动:
func init() {
go globalSessions.GC()
}func (manager *Manager) GC() {
manager.lock.Lock()
defer manager.lock.Unlock()
manager.provider.SessionGC(manager.maxLifeTime)
time.AfterFunc(time.Duration(manager.maxLifeTime), func() { manager.GC() })
}我们可以看到GC充分利用了time包中的定时器功能,当超时maxLifeTime之后调用GC函数,这样就可以保证maxLifeTime时间内的session都是可用的,类似的方案也可以用于统计在线用户数之类的。