Golang如何使用 net/http Cookie 管理_Golang HTTP Cookie 控制与处理实践-Golang-PHP中文网

Golang如何使用 net/http Cookie 管理_Golang HTTP Cookie 控制与处理实践

P粉602998670

发布： 2025-11-12 20:58:02

原创

358人浏览过

Golang中通过net/http处理Cookie，服务端使用http.SetCookie设置、r.Cookie读取，客户端借助cookiejar自动管理，需注意HttpOnly、Secure、SameSite等安全实践。

golang如何使用 net/http cookie 管理_golang http cookie 控制与处理实践

在 Golang 中使用 net/http 处理 HTTP Cookie 是构建 Web 应用或客户端请求时的常见需求。Cookie 用于维持会话状态、用户身份识别或记录偏好设置。Golang 提供了简洁且标准的方式支持 Cookie 的设置、读取和管理，本文将详细介绍如何在服务端与客户端场景下控制和处理 Cookie。

服务端：设置与读取 Cookie

在 HTTP 服务端，你可以通过 http.SetCookie 函数向客户端发送 Cookie，也可以从请求中读取已有的 Cookie。

设置 Cookie 示例：

使用 http.SetCookie 向响应中写入 Cookie：

立即学习“go语言免费学习笔记（深入）”；

func setCookieHandler(w http.ResponseWriter, r *http.Request) {
    cookie := &http.Cookie{
        Name:     "session_id",
        Value:    "abc123xyz",
        Path:     "/",
        Domain:   "localhost",
        Expires:  time.Now().Add(24 * time.Hour),
        MaxAge:   86400,
        HttpOnly: true,
        Secure:   false, // 开启 HTTPS 后应设为 true
        SameSite: http.SameSiteStrictMode,
    }
    http.SetCookie(w, cookie)
    fmt.Fprintf(w, "Cookie 已设置")
}

登录后复制

读取 Cookie 示例：

从请求中获取指定名称的 Cookie：

func readCookieHandler(w http.ResponseWriter, r *http.Request) {
    cookie, err := r.Cookie("session_id")
    if err != nil {
        if err == http.ErrNoCookie {
            http.Error(w, "Cookie 不存在", http.StatusNotFound)
            return
        }
        http.Error(w, "服务器错误", http.StatusInternalServerError)
        return
    }
    fmt.Fprintf(w, "Session ID: %s", cookie.Value)
}

登录后复制

你也可以遍历所有 Cookie：

钉钉 AI 助理

钉钉AI助理汇集了钉钉AI产品能力，帮助企业迈入智能新时代。

查看详情

for _, c := range r.Cookies() {
    fmt.Printf("Name: %s, Value: %s\n", c.Name, c.Value)
}

登录后复制

客户端：自动管理 Cookie（使用 CookieJar）

当使用 http.Client 发起请求时，若需自动保存和发送 Cookie（如模拟登录会话），可借助 net/http/cookiejar 包实现自动管理。

启用 CookieJar 示例：

jar, _ := cookiejar.New(nil) // 使用默认策略（基于域名）
client := &http.Client{
    Jar: jar,
}
<p>// 第一次请求：登录并接收 Set-Cookie
resp, _ := client.Get("<a href="https://www.php.cn/link/052c3ffc93bd3a4d5fc379bf96fabea8">https://www.php.cn/link/052c3ffc93bd3a4d5fc379bf96fabea8</a>")
resp.Body.Close()</p><p>// 后续请求会自动带上之前收到的 Cookie
resp2, _ := client.Get("<a href="https://www.php.cn/link/3bddd1aafe78ece8cf3ed90b61d847d8">https://www.php.cn/link/3bddd1aafe78ece8cf3ed90b61d847d8</a>")

登录后复制

CookieJar 会根据 RFC 6265 自动处理域、路径、过期时间等规则，无需手动维护。

自定义 Cookie 策略

若需要更精细控制 Cookie 存储逻辑（如过滤特定 Cookie 或跨子域共享），可实现 http.CookieJar 接口：

type CustomJar struct {
    cookies map[string][]*http.Cookie
}
<p>func (j <em>CustomJar) SetCookies(u </em>url.URL, cookies []*http.Cookie) {
key := u.Hostname()
j.cookies[key] = append(j.cookies[key], cookies...)
}</p><p>func (j <em>CustomJar) Cookies(u </em>url.URL) []*http.Cookie {
return j.cookies[u.Hostname()]
}

登录后复制

然后传入自定义的 Jar：

jar := &CustomJar{cookies: make(map[string][]*http.Cookie)}
client := &http.Client{Jar: jar}

登录后复制

安全与最佳实践

合理使用 Cookie 不仅关乎功能实现，也影响安全性与用户体验。

敏感数据不要明文存储：避免将用户密码、令牌等直接放入 Cookie 值中，建议使用加密 Session ID 并在服务端映射真实信息。
启用 HttpOnly 和 Secure 标志：防止 XSS 攻击窃取 Cookie，Secure 可确保仅通过 HTTPS 传输。
合理设置有效期：短期会话使用 MaxAge，长期记住用户才用 Expires，并允许用户主动清除。
SameSite 防止 CSRF：推荐设置为 SameSiteLax 或 SameSiteStrictMode，减少跨站请求伪造风险。

基本上就这些。Golang 的 net/http 对 Cookie 的支持足够清晰且灵活，无论是编写 Web 服务还是构建带状态的 HTTP 客户端，都能高效完成 Cookie 控制与处理。关键在于理解其结构字段含义，并结合安全策略正确使用。

以上就是Golang如何使用 net/http Cookie 管理_Golang HTTP Cookie 控制与处理实践的详细内容，更多请关注php中文网其它相关文章！