# 6.2 操作Session

通过上一小节的介绍，我们知道session是在服务器端实现的一种用户和服务器之间认证的解决方案，目前Go标准包没有为session提供任何支持，这小节我们将会自己动手来实现go版本的session管理和创建。

## 6.2.1 Session创建过程

session的基本原理是由服务器为每个会话维护一份信息数据，客户端和服务端依靠一个全局唯一的标识来访问这份数据，以达到交互的目的。当用户访问Web应用时，服务端程序会随需要创建session，这个过程可以概括为三个步骤：

- 生成全局唯一标识符（sessionid）
- 开辟数据存储空间。一般会在内存中创建相应的数据结构，但这种情况下，系统一旦掉电，所有的会话数据就会丢失，如果是电子商务类网站，这将造成严重的后果。所以为了解决这类问题，你可以将会话数据写到文件里或存储在数据库中，当然这样会增加I/O开销，但是它可以实现某种程度的session持久化，也更有利于session的共享
- 将session的全局唯一标示符发送给客户端

以上三个步骤中，最关键的是如何发送这个session的唯一标识这一步上。考虑到HTTP协议的定义，数据无非可以放到请求行、头域或Body里，所以一般来说会有两种常用的方式：cookie和URL重写。

1. Cookie
   服务端通过设置Set-cookie头就可以将session的标识符传送到客户端，而客户端此后的每一次请求都会带上这个标识符，另外一般包含session信息的cookie会将失效时间设置为0(会话cookie)，即浏览器进程有效时间。至于浏览器怎么处理这个0，每个浏览器都有自己的方案，但差别都不会太大(一般体现在新建浏览器窗口的时候)
2. URL重写
   所谓URL重写，就是在返回给用户的页面里的所有的URL后面追加session标识符，这样用户在收到响应之后，无论点击响应页面里的哪个链接或提交表单，都会自动带上session标识符，从而就实现了会话的保持。虽然这种做法比较麻烦，但是，如果客户端禁用了cookie的话，此种方案将会是首选

## 6.2.2 Go实现session管理

通过上面session创建过程的讲解，读者应该对session有了一个大体的认识，但是具体到动态页面技术里面，又是怎么实现session的呢？下面我们将结合session的生命周期（lifecycle），来实现go语言版本的session管理。

### 6.2.2.1 session管理设计

我们知道session管理涉及到如下几个因素

- 全局session管理器
- 保证sessionid 的全局唯一性
- 为每个客户关联一个session
- session 的存储(可以存储到内存、文件、数据库等)
- session 过期处理

接下来我将讲解一下我关于session管理的整个设计思路以及相应的go代码示例：

### 6.2.2.2 Session管理器

定义一个全局的session管理器

```go
type SessionManager struct {
	// private cookie name
	cookieName string
	// protects session
	lock        sync.Mutex
	provider    Provider
	maxLifeTime int64
}

//NewManager is a factory function to create SessionManager
func NewManager(providerName, cookieName string, maxLifeTime int64) (*SessionManager, error) {
	provider, ok := providers[providerName]
	if !ok {
		return nil, fmt.Errorf("session: unkown provide %q (forgotten import ?)", providerName)
	}
	return &SessionManager{provider: provider, cookieName: cookieName, maxLifeTime: maxLifeTime}, nil
}
```

在main包中创建一个全局的session管理器,并且在init()函数中初始化

```go
//Global Session Manager
//全局Session 管理器
var globalSessions *mysession.SessionManager

//initiate global session manager
//初始化全局session管理器
func init() {
	globalSessions, _ = mysession.NewManager("memory", "goseesionid", 3600)
}
```

session是保存在服务器端的数据，可以任何方式存储（内存，数据库，文件等）。因此可以抽象出一个接口Provider用于表征Session管理器的底层存储结构

```go
//Provide 抽象出session的存储方式(内存,文件,数据库等)
type Provider interface {
	//Initate session
	SessionInit(sid string) (Session, error)
	//return session
	SessionRead(sid string) (Session, error)
	//Destroy Session
	SessionDestroy(sid string) error
	//Expired Session collect
	SessionGc(maxLifeTime int64)
}
```

* SessionInit    ： 实现Session的初始化，操作成功后返回新的Session变量
* SessionRead    ： 返回sid代表的Session变量；若Session不存在则调用SessionInit()创建并返回新的Session
* SessionDestory ： 销毁sid对应的Session变量
* SessionGC      ： 根据maxLifeTime来删除过期的数据

对于Session的操作常用的是设置，读取，删除和获取sessionID，抽象的接口如下：

```go
//Session 抽象出Session的操作方式
type Session interface {
	//Set session value
	Set(key, value interface{}) error
	//Get session value
	Get(key interface{}) interface{}
	//Delete session value
	Delete(key interface{}) error
	//return currnet seesionID
	SessionID() string
}
```

以下是注册session存储方式的函数：

```go
//Session的存储方式，map形式
var providers = make(map[string]Provider)
//Register makes a seesion provider available by the provided name
//If Register is called twice with the same name or if driver is nil
//it panics
func Register(name string, provider Provider) {
	if provider == nil {
		panic("session: Register provider is nil")
	}
	if _, dup := providers[name]; dup {
		panic("session: Register called twice for provide " + name)
	}
	providers[name] = provider
}
```

### 6.2.2.3 全局唯一的Session ID

Session ID用于识别访问Web应用中的每一个用户，必须保证其全局唯一（GUID）

```go
//sessionId insure sessionId is unique
//返回全局唯一的Session ID
func (manager *SessionManager) sessionId() string {
	b := make([]byte, 32)
	//rand.Read(b) 向slice b中写入随机数
	if _, err := rand.Read(b); err != nil {
		return ""
	}
	//将slice b中的byte编码为base64格式
	return base64.URLEncoding.EncodeToString(b)
}
```

### 6.2.2.3 Session的创建

针对每个访问用户需要为其分配Session或者获取与之关联的Sesison，以便后续的操作

```go
//SessionStart create a session
func (manager *SessionManager) SessionStart(
	w http.ResponseWriter,
	r *http.Request) (session Session) {
	manager.lock.Lock()
	defer manager.lock.Unlock()
	//从cookie中获取session ID
	cookie, err := r.Cookie(manager.cookieName)
	if err != nil || cookie.Value == "" {
		//generate a session ID
		sid := manager.sessionId()
		//initiate seesion with Session ID
		session, _ = manager.provider.SessionInit(sid)
		//generate cookie
		cookie := http.Cookie{
			Name:  manager.cookieName,
			Value: url.QueryEscape(sid),
			Path:  "/", HttpOnly: true,
			MaxAge: int(manager.maxLifeTime)}
		//set cookie
		http.SetCookie(w, &cookie)
	} else {
		sid, _ := url.QueryUnescape(cookie.Value)
		session, _ = manager.provider.SessionRead(sid)
	}
	return
}
```

### 6.2.2.4 Session的操作

 设置、读取和删除

SessionStart函数返回的是一个满足Session接口的变量，那么我们该如何用他来对session数据进行操作呢？

上面的例子中的代码`session.Get("uid")`已经展示了基本的读取数据的操作，现在我们再来看一下详细的操作:

```Go
func count(w http.ResponseWriter, r *http.Request) {
	sess := globalSessions.SessionStart(w, r)
	createtime := sess.Get("createtime")
	if createtime == nil {
		sess.Set("createtime", time.Now().Unix())
	} else if (createtime.(int64) + 360) < (time.Now().Unix()) {
		globalSessions.SessionDestroy(w, r)
		sess = globalSessions.SessionStart(w, r)
	}
	ct := sess.Get("countnum")
	if ct == nil {
		sess.Set("countnum", 1)
	} else {
		sess.Set("countnum", (ct.(int) + 1))
	}
	t, _ := template.ParseFiles("count.gtpl")
	w.Header().Set("Content-Type", "text/html")
	t.Execute(w, sess.Get("countnum"))
}
```

通过上面的例子可以看到，Session的操作和操作key/value数据库类似:Set、Get、Delete等操作

因为Session有过期的概念，所以我们定义了GC操作，当访问过期时间满足GC的触发条件后将会引起GC，但是当我们进行了任意一个session操作，都会对Session实体进行更新，都会触发对最后访问时间的修改，这样当GC的时候就不会误删除还在使用的Session实体。

Session重置

当用户退出应用时，需要对用户的session数据进行销毁操作

```go
//Destroy sessionid
func (manager *Manager) SessionDestroy(w http.ResponseWriter, r *http.Request){
	cookie, err := r.Cookie(manager.cookieName)
	if err != nil || cookie.Value == "" {
		return
	} else {
		manager.lock.Lock()
		defer manager.lock.Unlock()
		manager.provider.SessionDestroy(cookie.Value)
		expiration := time.Now()
		cookie := http.Cookie{Name: manager.cookieName, Path: "/", HttpOnly: true, Expires: expiration, MaxAge: -1}
		http.SetCookie(w, &cookie)
	}
}

```

session销毁

我们来看一下Session管理器如何来管理销毁，只要我们在Main启动的时候启动：

```Go
func init() {
	go globalSessions.GC()
}
```

```Go
func (manager *Manager) GC() {
	manager.lock.Lock()
	defer manager.lock.Unlock()
	manager.provider.SessionGC(manager.maxLifeTime)
	time.AfterFunc(time.Duration(manager.maxLifeTime), func() { manager.GC() })
}
```

我们可以看到GC充分利用了time包中的定时器功能，当超时`maxLifeTime`之后调用GC函数，这样就可以保证`maxLifeTime`时间内的session都是可用的，类似的方案也可以用于统计在线用户数之类的。