当前位置: 首页 > article >正文

11-Gin 中的 Cookie --[Gin 框架入门精讲与实战案例]

Cookie 介绍

Cookie 是一种存储在用户浏览器上的小型数据片段,通常用于保存会话信息、用户偏好设置等。当用户访问一个网站时,服务器可以发送一个 Cookie 给浏览器,浏览器会在本地保存这个 Cookie。之后每次用户再次访问同一网站时,浏览器都会将这些 Cookie 一并发送给服务器,从而让服务器能够识别出用户,并根据之前的交互提供个性化服务。

Cookie 的主要特性

  • 持久性:Cookie 可以设定过期时间,使得它们可以在用户关闭浏览器甚至电脑后仍然存在。
  • 域和路径:每个 Cookie 都关联着一个特定的域名(Domain)和路径(Path),只有当用户的请求与这两个属性匹配时,浏览器才会发送对应的 Cookie。
  • 大小限制:单个 Cookie 的大小通常是有限制的,一般不超过4KB。
  • 数量限制:浏览器对每个域名下的 Cookie 数量也有限制。
  • 安全性:可以通过设置 SecureHttpOnly 属性来增强 Cookie 的安全性。Secure 标志确保 Cookie 只通过 HTTPS 协议传输;HttpOnly 标志防止客户端脚本访问该 Cookie,有助于减轻跨站脚本攻击(XSS)的风险。

Cookie 的使用场景

  • 会话管理:例如登录状态、购物车内容等。
  • 个性化设置:如语言选择、字体大小等用户偏好的存储。
  • 跟踪用户行为:分析用户的行为模式,优化网站体验或进行广告投放。

Cookie 的隐私问题

由于 Cookie 能够追踪用户的活动,因此它们也引发了关于隐私保护的问题。一些用户可能会担心他们的在线活动被监控,所以现代浏览器允许用户查看和删除他们设备上的 Cookies,并且有些浏览器默认阻止第三方 Cookies 或提供了更严格的跟踪防护选项。

随着网络技术的发展,除了传统的 Cookie 之外,还有其他形式的会话管理和用户跟踪机制,比如 HTML5 提供的 Web Storage 和 IndexedDB,以及基于服务器端的会话机制。

Cookie 能实现的功能

Cookie 在 Web 应用中能够实现多种功能,以下是其中一些主要的功能:

  1. 会话管理

    • 保存用户的登录状态。当用户登录网站后,服务器可以发送一个包含会话信息的 Cookie 给浏览器。每次用户请求页面时,浏览器都会自动将这个 Cookie 发送回服务器,从而让服务器知道这是同一个用户的连续访问。
    • 实现“记住我”功能。允许用户在一段时间内无需重新输入用户名和密码即可再次登录。
  2. 个性化设置

    • 存储用户的偏好设置,如语言选择、主题样式、字体大小等。这样,当用户下次访问时,网站可以根据这些偏好提供个性化的用户体验。
  3. 购物车

    • 对于电子商务网站,Cookie 可以用来记录用户添加到购物车的商品列表,即使用户关闭了浏览器或离开了网站,再次回来时购物车内容仍然保留。
  4. 跟踪用户行为

    • 网站可以通过分析用户浏览过的页面、停留时间等信息来了解用户的兴趣点,进而优化网站内容或进行针对性的广告投放。
  5. 跨页通信

    • 在同一个域名下的不同页面之间共享数据。例如,在一个多步骤表单中,每个页面都可以读取和更新同一个 Cookie 来存储用户的输入信息。
  6. A/B 测试

    • 网站可以在不同的访客群体中展示不同的版本,并使用 Cookie 来跟踪哪个版本表现更好,从而决定最终采用哪种设计。
  7. 广告和营销

    • 第三方 Cookie 常被用于在线广告网络,以追踪用户的活动并在不同网站上显示相关的广告。
  8. 防止重复操作

    • 通过设置特定的 Cookie,可以限制某些操作只能执行一次,比如投票、下载文件等。
  9. 安全与认证

    • 使用 HttpOnly 和 Secure 标志的安全 Cookie 可以减少 XSS(跨站点脚本攻击)和 CSRF(跨站请求伪造)的风险。

需要注意的是,虽然 Cookie 提供了强大的功能,但也存在隐私问题。因此,在使用 Cookie 时应该遵守相关法律法规(如 GDPR),并且应当告知用户并获得他们的同意。此外,随着浏览器对隐私保护措施的加强,某些类型的 Cookie(尤其是第三方 Cookie)可能会受到更严格的限制或直接被禁用。

Gin 中的 Cookie的使用

在 Gin 框架中,Cookie 是一种存储在用户浏览器上的小型数据片段。Cookies 可以用来保存会话信息、用户偏好设置等。Gin 提供了简单的方法来操作 Cookie。

设置 Cookie

你可以使用 SetCookie 方法来设置一个 cookie。这个方法是 ResponseWriter 接口的一部分,因此可以在 Gin 的上下文中直接调用它。下面是一个简单的例子:

c.SetCookie("username", "john_doe", 3600, "/", "localhost", false, true)

上述代码设置了名为 username 的 cookie,值为 john_doe,有效期为 3600 秒(即1小时),路径为根路径 /,域名是 localhost,安全标志设为 false 表示不强制 HTTPS 传输,HttpOnly 标志设为 true 表示该 cookie 不可通过 JavaScript 访问。

获取 Cookie

要获取一个已有的 cookie,可以使用 GetCookie 方法,它是 Gin 上下文(gin.Context)提供的。如果找到了对应的 cookie,则返回其值;如果未找到,则返回错误:

cookieValue, err := c.Cookie("username")
if err != nil {
    // 处理错误
}
// 使用 cookieValue

删除 Cookie

删除 cookie 通常通过将它的过期时间设置为过去的时间点来实现。你可以通过 SetCookie 并将最大年龄(MaxAge)设置为负数或设置过期时间为过去的某个时间来删除一个 cookie:

c.SetCookie("username", "", -1, "/", "localhost", false, true)

请注意,在实际的 Web 应用程序中,处理 cookie 时需要考虑安全性问题,例如设置适当的 SecureHttpOnly 标志,以及确保敏感信息不会被存储在 cookie 中。

设置和获取 Cookie 示例

下面是三个使用 Gin 框架设置和获取 Cookie 的完整示例。这些例子展示了如何创建一个简单的 HTTP 服务器,并在其中操作 Cookie。

示例 1:设置一个简单的会话 Cookie

package main

import (
	"net/http"

	"github.com/gin-gonic/gin"
)

// setSessionCookie 设置一个会话 cookie,有效期为一年。
// 该函数主要用于在用户进行某些操作后,设置一个长时间有效的会话标识。
// 参数:
//
//	c *gin.Context: Gin框架的上下文对象,用于处理HTTP请求和响应。
func setSessionCookie(c *gin.Context) {
	// 定义常量 oneYearInSeconds,表示一年的秒数,用于设置cookie的过期时间。
	const oneYearInSeconds = 365 * 24 * 60 * 60 // 设置 cookie 有效期为一年,以秒为单位

	// 使用 SetCookie 方法设置名为 "session_id" 的 cookie。
	// 参数说明:
	// - "session_id": cookie的名称。
	// - "user_session_value": cookie的值,这里是一个示例值。
	// - oneYearInSeconds: cookie的有效期,使用前面定义的常量,表示一年。
	// - "/": cookie的作用路径,这里设置为根路径,表示整个域名下都有效。
	// - "localhost": cookie的域名,这里设置为localhost,用于本地测试。
	// - false: 表示cookie是否只能通过HTTPS传输,这里设置为false,因为是在本地测试。
	// - true: 表示cookie是否被HTTPOnly属性设置为不可通过JavaScript访问,这里设置为true,提高安全性。
	c.SetCookie("session_id", "user_session_value", oneYearInSeconds, "/", "localhost", false, true)

	// 通过c.JSON方法发送HTTP 200响应,表示cookie已经成功设置。
	// 这里使用gin.H创建一个JSON对象,包含一个消息"cookie has been set",用于告知客户端cookie已设置。
	c.JSON(http.StatusOK, gin.H{"message": "cookie has been set"})
}

// getSessionCookie 获取会话cookie
// 该函数尝试从请求中读取名为"session_id"的cookie,并在响应中返回其值
// 参数:
//
//	c *gin.Context: Gin框架的上下文对象,用于处理HTTP请求和响应
func getSessionCookie(c *gin.Context) {
	sessionID, err := c.Cookie("session_id")
	if err != nil {
		c.JSON(http.StatusNotFound, gin.H{"error": "cookie not found"})
		return
	}
	c.JSON(http.StatusOK, gin.H{"session_id": sessionID})
}

func main() {
	r := gin.Default()

	// 注册路由处理函数
	r.GET("/set-cookie", setSessionCookie)
	r.GET("/get-cookie", getSessionCookie)

	// 启动HTTP服务器,监听端口为8080
	r.Run(":8080") // 监听并在 0.0.0.0:8080 上启动服务
}

在这里插入图片描述

在这里插入图片描述

示例 2:设置带过期时间的 HttpOnly 和 Secure 标志的 Cookie

package main

import (
	"net/http"

	"github.com/gin-gonic/gin"
)

// setPasswordResetCookie 设置一个用于密码重置的HTTP Only Cookie。
// 该函数创建一个名为reset_token的cookie,其值为random_reset_token_value,有效期为15分钟。
// 它仅通过HTTPS发送,并且不能通过JavaScript访问,以提高安全性。
func setPasswordResetCookie(c *gin.Context) {
	const fifteenMinutesInSeconds = 15 * 60 // 设置 cookie 有效期为15分钟,以秒为单位
	httpOnly := true
	secure := true // 确保只通过 HTTPS 发送此 cookie

	c.SetCookie("reset_token", "random_reset_token_value", fifteenMinutesInSeconds, "/", "localhost", secure, httpOnly)
	c.JSON(http.StatusOK, gin.H{"message": "password reset token has been set"})
}

// getPasswordResetCookie 从客户端请求中获取密码重置cookie的值。
// 该函数尝试读取名为reset_token的cookie,并将其值作为响应的一部分返回。
// 如果cookie不存在,它将返回一个错误消息和404状态码。
func getPasswordResetCookie(c *gin.Context) {
	resetToken, err := c.Cookie("reset_token")
	if err != nil {
		c.JSON(http.StatusNotFound, gin.H{"error": "reset token not found"})
		return
	}
	c.JSON(http.StatusOK, gin.H{"reset_token": resetToken})
}

func main() {
	r := gin.Default()

	// 定义路由处理函数,对应于设置和获取密码重置cookie的操作。
	r.GET("/set-password-reset-cookie", setPasswordResetCookie)
	r.GET("/get-password-reset-cookie", getPasswordResetCookie)

	// 启动 Gin Web框架,监听8080端口。
	r.Run(":8080") // 监听并在 0.0.0.0:8080 上启动服务
}

在这里插入图片描述

在这里插入图片描述

示例 3:删除一个已存在的 Cookie

package main

import (
	"net/http"

	"github.com/gin-gonic/gin"
)

// removeCookie 函数用于删除客户端的指定 cookie。
// 该函数通过设置 cookie 的 MaxAge 为负值来删除 cookie,这将导致浏览器删除该 cookie。
// 参数:
//
//	c *gin.Context: Gin框架的上下文对象,用于处理 HTTP 请求和响应。
func removeCookie(c *gin.Context) {
	// 将 MaxAge 设置为负数以删除 cookie
	c.SetCookie("reset_token", "", -1, "/", "localhost", false, true)
	// 响应客户端,提示 cookie 已被删除
	c.JSON(http.StatusOK, gin.H{"message": "cookie has been removed"})
}

func main() {
	r := gin.Default()

	// 注册 removeCookie 函数以处理 "/remove-cookie" 路径的 GET 请求。
	r.GET("/remove-cookie", removeCookie)

	// 监听并在 0.0.0.0:8080 上启动服务
	r.Run(":8080")
}

在这里插入图片描述

这三个示例覆盖了基本的 Cookie 操作:创建、读取以及删除。请注意,在实际应用中,您应该根据需要调整域名("localhost")、路径("/")以及其他参数。此外,对于生产环境,确保适当地配置 SecureHttpOnly 参数以增强安全性。

多个二级域名共享

为了使多个二级域名共享 Cookie,你需要设置 Cookie 的 Domain 属性为这些二级域名的公共父域名。例如,如果你有 user.example.comapi.example.com 两个二级域名,并希望在这两个域名之间共享 Cookie,那么你应该将 Cookie 的 Domain 设置为 .example.com

下面是一个使用 Gin 框架来设置和获取跨多个二级域名共享的 Cookie 的示例:

示例:跨多个二级域名共享 Cookie

package main

import (
	"github.com/gin-gonic/gin"
	"net/http"
)

func setSharedCookie(c *gin.Context) {
	// 设置一个可以被所有子域名访问的 cookie
	c.SetCookie("shared_cookie", "shared_value", 3600, "/", ".example.com", false, true)
	c.JSON(http.StatusOK, gin.H{"message": "shared cookie has been set"})
}

func getSharedCookie(c *gin.Context) {
	cookieValue, err := c.Cookie("shared_cookie")
	if err != nil {
		c.JSON(http.StatusNotFound, gin.H{"error": "shared cookie not found"})
		return
	}
	c.JSON(http.StatusOK, gin.H{"shared_cookie": cookieValue})
}

func main() {
	r := gin.Default()

	// 假设你有一个路由组用于处理来自不同子域名的请求
	// 注意,在实际部署中,你可能需要配置你的 Web 服务器(如 Nginx)来根据 Host 头部分发请求到正确的后端服务。
	r.GET("/set-shared-cookie", setSharedCookie)
	r.GET("/get-shared-cookie", getSharedCookie)

	// 如果在本地测试,请确保修改 hosts 文件或使用工具模拟不同的子域名
	r.Run(":8080") // 监听并在 0.0.0.0:8080 上启动服务
}

在这个例子中,SetCookie 方法中的 ".example.com" 表示这个 Cookie 将对所有以 example.com 结尾的域名可见,包括所有的二级域名。请注意,前面的点(.)是必需的,它告诉浏览器这是一个通用的顶级域名设置,而不是特定于某个子域名。

当用户访问 user.example.com/set-shared-cookieapi.example.com/set-shared-cookie 时,都会创建一个名为 shared_cookie 的 Cookie,该 Cookie 可以在 user.example.com/get-shared-cookieapi.example.com/get-shared-cookie 中读取。

需要注意的是,为了让这种跨子域名共享 Cookie 的机制生效,你必须确保存在正确配置的 DNS 记录以及 Web 服务器配置(例如 Nginx、Apache),以便能够根据 Host 头部信息正确地路由请求到相应的后端应用。此外,在开发环境中测试时,你可能需要编辑 /etc/hosts 文件或者使用类似 ngrok 的工具来模拟真实的多域名环境。


http://www.kler.cn/a/470381.html

相关文章:

  • ECharts系列:echart中折线图折线设置不平滑显示
  • 【C++面向对象——类的多态性与虚函数】计算图像面积(头歌实践教学平台习题)【合集】
  • vulnhub靶场-potato(至获取shell)
  • shell脚本总结2
  • 智能客户服务:科技如何重塑客户服务体验
  • 基于Spring Boot的车辆违章信息管理系统(LW+源码+讲解)
  • vue.js 自定义指令-基础语法
  • 大数据安全需求分析与安全保护工程
  • 【PyTorch入门】 PyTorch不同优化器的比较
  • Netty中用了哪些设计模式?
  • 云计算安全需求分析与安全防护工程
  • windows下,golang+vscode+delve 远程调试
  • 安卓漏洞学习(十八):Android加固基本原理
  • PHP零基础入门笔记
  • Vue的后端之一,Django
  • 【大数据】(选修)实验4 安装熟悉HBase数据库并实践
  • 2台ubuntu之间scp
  • QPainter,QPen,QBrush详解
  • Ruby语言的数据结构
  • 微信小程序中调用阿里云 OSS(Object Storage Service)上传文件
  • 微软发布2025年AI预测:AI Agents将彻底改变工作方式
  • Ant Design Pro写项目的总结经验(react)
  • Redis中的Red Lock/Redis锁
  • K8s集群中,Worker 节点误执行了 kubeadm init
  • ip属地不是唯一的吗怎么改
  • Vue笔记-001-声明式渲染