Go语言通过net/http包提供Cookie支持,用于维持HTTP状态;可使用r.Cookie("name")读取指定Cookie或r.Cookies()获取全部;通过http.SetCookie(w, cookie)写入,需设置Name、Value、Path、MaxAge、HttpOnly、SameSite等字段保证安全;示例实现登录后设Cookie及校验登录状态;结合路由可完成简单会话控制,合理配置安全性参数可防范XSS与CSRF攻击。
在Go语言中处理HTTP请求时,Cookie是维持客户端状态的重要手段。虽然HTTP本身是无状态的协议,但通过Cookie可以在浏览器和服务器之间传递用户信息,比如登录状态、偏好设置等。Golang标准库 net/http 提供了对 Cookie 的原生支持,使用起来简洁高效。
读取客户端发送的Cookie
当客户端(如浏览器)发起请求时,会自动在 HTTP 头部附带已保存的 Cookie。在 Go 的 http.HandlerFunc 中,可以通过 Request 对象来读取这些 Cookie。
有两种常用方式:
- 使用 r.Cookie("name"):直接根据名称获取单个 Cookie,如果不存在会返回 http.ErrNoCookie 错误。
- 使用 r.Cookies():获取所有 Cookie,返回一个 *http.Cookie 的切片。
假设客户端发送了一个名为 "username" 的 Cookie:
立即学习“go语言免费学习笔记(深入)”;
func readCookieHandler(w http.ResponseWriter, r *http.Request) {
cookie, err := r.Cookie("username")
if err != nil {
if err == http.ErrNoCookie {
http.Error(w, "未找到 username Cookie", http.StatusNotFound)
return
}
http.Error(w, err.Error(), http.StatusBadRequest)
return
}
fmt.Fprintf(w, "用户名: %s\n", cookie.Value)
}
向客户端写入Cookie
服务器可以通过响应头 Set-Cookie 向浏览器写入 Cookie。在 Go 中,使用 http.SetCookie 函数即可完成操作。该函数接收一个 http.ResponseWriter 和一个 *http.Cookie 结构体。
http.Cookie 结构体常见字段包括:
- Name / Value:键值对,存储数据。
- Path:指定 Cookie 作用路径,"/" 表示整个域名下都有效。
- Domain:指定作用域名,例如 ".example.com"。
- Expires / MaxAge:控制过期时间。MaxAge 是秒数,比 Expires 更灵活。
- Secure:仅通过 HTTPS 传输。
- HttpOnly:防止 XSS 攻击,JavaScript 无法访问。
- SameSite:防范 CSRF,可设为 http.SameSiteStrictMode 或 http.SameSiteLaxMode。
func setCookieHandler(w http.ResponseWriter, r *http.Request) {
cookie := &http.Cookie{
Name: "username",
Value: "gopher",
Path: "/",
MaxAge: 3600, // 1小时
HttpOnly: true,
SameSite: http.SameSiteLaxMode,
}
http.SetCookie(w, cookie)
fmt.Fprint(w, "Cookie 已设置")
}
完整实践:模拟用户登录与状态保持
结合读写操作,可以实现一个简单的登录状态管理逻辑。
假设我们有一个简易登录接口,成功后设置 Cookie,另一个接口检查是否已登录。
func loginHandler(w http.ResponseWriter, r *http.Request) {
// 模拟登录验证
if r.URL.Query().Get("user") == "admin" {
cookie := &http.Cookie{
Name: "logged_in",
Value: "true",
Path: "/",
MaxAge: 3600,
}
http.SetCookie(w, cookie)
fmt.Fprint(w, "登录成功")
} else {
http.Error(w, "登录失败", http.StatusUnauthorized)
}
}
func statusHandler(w http.ResponseWriter, r *http.Request) {
cookie, err := r.Cookie("logged_in")
if err != nil {
fmt.Fprint(w, "未登录")
return
}
if cookie.Value == "true" {
fmt.Fprint(w, "当前已登录")
} else {
fmt.Fprint(w, "登录状态无效")
}
}
注册路由并运行服务:
func main() {
http.HandleFunc("/login", loginHandler)
http.HandleFunc("/status", statusHandler)
http.ListenAndServe(":8080", nil)
}
访问 /login?user=admin 设置 Cookie,再访问 /status 可看到“当前已登录”。
基本上就这些。Golang 的 Cookie 管理不复杂但容易忽略安全设置。合理使用 HttpOnly、SameSite 和 MaxAge 能有效提升应用安全性。对于更复杂的会话管理,可在 Cookie 基础上封装 Session 机制,或结合 JWT 实现无状态认证。
