如何使用Golang处理Cookie_Golang net HTTP Cookie操作方法

Go语言通过net/http包支持HTTP Cookie的设置、读取与删除，需注意Path、Secure、HttpOnly、SameSite等安全配置，并推荐使用gorilla/securecookie等库签名加密敏感数据。

Go语言通过net/http包提供了对HTTP Cookie的完整支持，包括设置、读取、解析和安全控制。核心在于http.Cookie结构体和http.SetCookie、r.Cookie等方法，操作简洁但需注意细节（如路径、域名、Secure/HttpOnly标志）。

设置Cookie（服务端下发）

使用http.SetCookie向响应头写入Cookie。需构造http.Cookie结构体，关键字段包括Name、Value、Path、MaxAge、Secure、HttpOnly等。

• MaxAge ：不设过期时间（会话级Cookie，浏览器关闭即失效）
• MaxAge = 0：立即删除（浏览器收到后清除该Cookie）
• Secure = true：仅通过HTTPS传输（生产环境必须开启）
• HttpOnly = true：禁止JS访问，防XSS窃取

示例：

动态WEB网站中的PHP和MySQL：直观的QuickPro指南第2版

动态WEB网站中的PHP和MySQL详细反映实际程序的需求，仔细地探讨外部数据的验证(例如信用卡卡号的格式)、用户登录以及如何使用模板建立网页的标准外观。动态WEB网站中的PHP和MySQL的内容不仅仅是这些。书中还提到如何串联JavaScript与PHP让用户操作时更快、更方便。还有正确处理用户输入错误的方法，让网站看起来更专业。另外还引入大量来自PEAR外挂函数库的强大功能，对常用的、强大的包

下载

cookie := &http.Cookie{
    Name:     "session_id",
    Value:    "abc123xyz",
    Path:     "/",
    MaxAge:   3600, // 1小时
    HttpOnly: true,
    Secure:   true, // 开发时若无HTTPS可暂设false，上线务必true
    SameSite: http.SameSiteLaxMode,
}
http.SetCookie(w, cookie)

读取Cookie（服务端接收）

用r.Cookie(name)获取单个Cookie，返回*http.Cookie和error；用r.Cookies()获取全部Cookie切片。

立即学习“go语言免费学习笔记（深入）”；

• 若Cookie不存在，r.Cookie()返回http.ErrNoCookie错误，应显式判断
• Cookie的Value是字符串，如需结构化数据（如用户ID、权限），建议先JSON序列化再存，读取后反序列化
• 不要直接信任客户端传来的Cookie值，尤其涉及权限或敏感操作时，需服务端校验（如查数据库、验证签名）

示例：

cookie, err := r.Cookie("session_id")
if err == http.ErrNoCookie {
    http.Error(w, "未登录", http.StatusUnauthorized)
    return
}
if err != nil {
    http.Error(w, "读取Cookie失败", http.StatusInternalServerError)
    return
}
fmt.Println("收到 session_id:", cookie.Value)

删除Cookie（服务端主动清除）

本质是下发一个同名、空值、MaxAge=0 的Cookie，让浏览器覆盖原值并立即丢弃。

• 必须保证Name、Path、Domain与原Cookie完全一致，否则无法清除
• 推荐显式设置Path（如"/"），避免因路径不匹配导致清除失败
• 若原Cookie设了Secure或SameSite，删除时也应保持一致

示例：

delCookie := &http.Cookie{
    Name:   "session_id",
    Value:  "",
    Path:   "/",
    MaxAge: 0,
    Secure: true,
    HttpOnly: true,
}
http.SetCookie(w, delCookie)

进阶：签名与加密保护Cookie

标准Cookie明文传输，敏感信息（如用户ID、角色）不可直接存。推荐使用gorilla/securecookie或golang.org/x/crypto/nacl/secretbox等库做签名/加密。

• 签名（SecureCookie）：防止篡改，适合存非敏感但需校验的数据（如user_id+timestamp）
• 加密（AES/NaCl）：完全隐藏内容，适合存token、临时凭证等
• 避免自己实现加解密逻辑，优先选用成熟库并严格保管密钥

简单签名示例（需引入github.com/gorilla/securecookie）：

var s = securecookie.New(
    securecookie.GenerateRandomKey(32), // auth key
    securecookie.GenerateRandomKey(32), // encrypt key
)
// 编码
encoded, err := s.Encode("session", map[string]interface{}{"uid": 123, "exp": time.Now().Add(time.Hour).Unix()})
// 解码
var value map[string]interface{}
err := s.Decode("session", encoded, &value)

基本上就这些。Cookie操作本身不复杂，但安全细节容易忽略——路径匹配、HTTPS强制、HttpOnly、SameSite策略、服务端校验缺一不可。