答案:在golang中通过net/http设置cookie使用http.SetCookie,读取用r.Cookie,Token常用JWT实现,生成后可通过Cookie或Header传输,结合HttpOnly、Secure、SameSite可提升安全性,验证时解析Authorization头或Cookie中的Token并校验有效性。
在golang中处理Cookie和Token是Web开发中的常见需求,尤其在实现用户认证、会话管理时尤为重要。合理使用Cookie和Token可以提升安全性与用户体验。下面介绍如何在标准库 net/http 的基础上操作Cookie和Token。
设置和读取Cookie
Cookie通常用于保存客户端的小量数据,比如会话标识(session ID)或用户偏好。
设置Cookie: 使用 http.SetCookie 函数向响应中写入Cookie。
http.SetCookie(w, &http.Cookie{ Name: "session_id", Value: "abc123xyz", Path: "/", HttpOnly: true, MaxAge: 3600, })
上述代码设置了名为 session_id 的Cookie,值为 abc123xyz,有效期1小时,仅限HTTP访问,防止xss攻击。
立即学习“go语言免费学习笔记(深入)”;
读取Cookie: 使用 r.Cookies() 或 r.Cookie(name) 获取请求中的Cookie。
cookie, err := r.Cookie("session_id") if err != nil { http.Error(w, "未登录", http.StatusUnauthorized) return } fmt.Println("Session ID:", cookie.Value)
使用Token进行身份验证
Token(如JWT)常用于无状态认证。服务器签发Token,客户端在后续请求中携带它,通常放在 Authorization 头中。
生成JWT Token示例:
import "github.com/golang-jwt/jwt/v5" <p>token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{ "user<em>id": 123, "exp": time.Now().Add(time.Hour * 24).unix(), }) tokenString, </em> := token.SignedString([]byte("your-secret-key"))</p>
将生成的 tokenString 返回给客户端,客户端在请求头中携带:
Authorization: Bearer <tokenString>
解析和验证Token:
header := r.Header.Get("Authorization") if header == "" { http.Error(w, "缺少Token", http.StatusUnauthorized) return } <p>parts := strings.Split(header, " ") if len(parts) != 2 || parts[0] != "Bearer" { http.Error(w, "无效的Token格式", http.StatusForbidden) return }</p><p>parsedToken, err := jwt.Parse(parts[1], func(token *jwt.Token) (interface{}, error) { return []byte("your-secret-key"), nil }) if err != nil || !parsedToken.Valid { http.Error(w, "无效或过期的Token", http.StatusUnauthorized) return }</p>
结合Cookie存储Token
为了兼顾安全性和便利性,可以将Token通过Cookie发送给客户端,并设置安全属性。
http.SetCookie(w, &http.Cookie{ Name: "auth_token", Value: tokenString, Path: "/", HttpOnly: true, Secure: true, // 启用HTTPS SameSite: http.SameSiteStrictMode, MaxAge: 86400, })
这样可防止javaScript访问Token(防XSS),同时限制跨站请求(csrf防护可通过SameSite实现)。
从Cookie中读取Token的方式与普通Cookie一致:
cookie, err := r.Cookie("auth_token") if err != nil { http.Error(w, "请登录", http.StatusUnauthorized) return } tokenString := cookie.Value // 然后解析JWT
基本上就这些。关键在于理解Cookie的作用域、安全标志以及Token的签发与验证流程。不复杂但容易忽略细节。