通過(guò)上一小節(jié)的介紹，我們知道session是在服務(wù)器端實(shí)現(xiàn)的一種用戶(hù)和服務(wù)器之間認(rèn)證的解決方案，目前Go標(biāo)準(zhǔn)包沒(méi)有為session提供任何支持，這小節(jié)我們將會(huì)自己動(dòng)手來(lái)實(shí)現(xiàn)go版本的session管理和創(chuàng)建。

session創(chuàng)建過(guò)程

session的基本原理是由服務(wù)器為每個(gè)會(huì)話維護(hù)一份信息數(shù)據(jù)，客戶(hù)端和服務(wù)端依靠一個(gè)全局唯一的標(biāo)識(shí)來(lái)訪問(wèn)這份數(shù)據(jù)，以達(dá)到交互的目的。當(dāng)用戶(hù)訪問(wèn)Web應(yīng)用時(shí)，服務(wù)端程序會(huì)隨需要?jiǎng)?chuàng)建session，這個(gè)過(guò)程可以概括為三個(gè)步驟：

• 生成全局唯一標(biāo)識(shí)符（sessionid）；
• 開(kāi)辟數(shù)據(jù)存儲(chǔ)空間。一般會(huì)在內(nèi)存中創(chuàng)建相應(yīng)的數(shù)據(jù)結(jié)構(gòu)，但這種情況下，系統(tǒng)一旦掉電，所有的會(huì)話數(shù)據(jù)就會(huì)丟失，如果是電子商務(wù)類(lèi)網(wǎng)站，這將造成嚴(yán)重的后果。所以為了解決這類(lèi)問(wèn)題，你可以將會(huì)話數(shù)據(jù)寫(xiě)到文件里或存儲(chǔ)在數(shù)據(jù)庫(kù)中，當(dāng)然這樣會(huì)增加I/O開(kāi)銷(xiāo)，但是它可以實(shí)現(xiàn)某種程度的session持久化，也更有利于session的共享；
• 將session的全局唯一標(biāo)示符發(fā)送給客戶(hù)端。

以上三個(gè)步驟中，最關(guān)鍵的是如何發(fā)送這個(gè)session的唯一標(biāo)識(shí)這一步上?？紤]到HTTP協(xié)議的定義，數(shù)據(jù)無(wú)非可以放到請(qǐng)求行、頭域或Body里，所以一般來(lái)說(shuō)會(huì)有兩種常用的方式：cookie和URL重寫(xiě)。

1. Cookie 服務(wù)端通過(guò)設(shè)置Set-cookie頭就可以將session的標(biāo)識(shí)符傳送到客戶(hù)端，而客戶(hù)端此后的每一次請(qǐng)求都會(huì)帶上這個(gè)標(biāo)識(shí)符，另外一般包含session信息的cookie會(huì)將失效時(shí)間設(shè)置為0(會(huì)話cookie)，即瀏覽器進(jìn)程有效時(shí)間。至于瀏覽器怎么處理這個(gè)0，每個(gè)瀏覽器都有自己的方案，但差別都不會(huì)太大(一般體現(xiàn)在新建瀏覽器窗口的時(shí)候)；
2. URL重寫(xiě) 所謂URL重寫(xiě)，就是在返回給用戶(hù)的頁(yè)面里的所有的URL后面追加session標(biāo)識(shí)符，這樣用戶(hù)在收到響應(yīng)之后，無(wú)論點(diǎn)擊響應(yīng)頁(yè)面里的哪個(gè)鏈接或提交表單，都會(huì)自動(dòng)帶上session標(biāo)識(shí)符，從而就實(shí)現(xiàn)了會(huì)話的保持。雖然這種做法比較麻煩，但是，如果客戶(hù)端禁用了cookie的話，此種方案將會(huì)是首選。

Go實(shí)現(xiàn)session管理

通過(guò)上面session創(chuàng)建過(guò)程的講解，讀者應(yīng)該對(duì)session有了一個(gè)大體的認(rèn)識(shí)，但是具體到動(dòng)態(tài)頁(yè)面技術(shù)里面，又是怎么實(shí)現(xiàn)session的呢？下面我們將結(jié)合session的生命周期（lifecycle），來(lái)實(shí)現(xiàn)go語(yǔ)言版本的session管理。

session管理設(shè)計(jì)

我們知道session管理涉及到如下幾個(gè)因素

• 全局session管理器
• 保證sessionid 的全局唯一性
• 為每個(gè)客戶(hù)關(guān)聯(lián)一個(gè)session
• session 的存儲(chǔ)(可以存儲(chǔ)到內(nèi)存、文件、數(shù)據(jù)庫(kù)等)
• session 過(guò)期處理

接下來(lái)我將講解一下我關(guān)于session管理的整個(gè)設(shè)計(jì)思路以及相應(yīng)的go代碼示例：

Session管理器

定義一個(gè)全局的session管理器

type Manager struct {
    cookieName  string     //private cookiename
    lock        sync.Mutex // protects session
    provider    Provider
    maxlifetime int64
}

func NewManager(provideName, cookieName string, maxlifetime int64) (*Manager, error) {
    provider, ok := provides[provideName]
    if !ok {
        return nil, fmt.Errorf("session: unknown provide %q (forgotten import?)", provideName)
    }
    return &Manager{provider: provider, cookieName: cookieName, maxlifetime: maxlifetime}, nil
}

Go實(shí)現(xiàn)整個(gè)的流程應(yīng)該也是這樣的，在main包中創(chuàng)建一個(gè)全局的session管理器

var globalSessions *session.Manager
//然后在init函數(shù)中初始化
func init() {
    globalSessions, _ = NewManager("memory","gosessionid",3600)
}

我們知道session是保存在服務(wù)器端的數(shù)據(jù)，它可以以任何的方式存儲(chǔ)，比如存儲(chǔ)在內(nèi)存、數(shù)據(jù)庫(kù)或者文件中。因此我們抽象出一個(gè)Provider接口，用以表征session管理器底層存儲(chǔ)結(jié)構(gòu)。

type Provider interface {
    SessionInit(sid string) (Session, error)
    SessionRead(sid string) (Session, error)
    SessionDestroy(sid string) error
    SessionGC(maxLifeTime int64)
}

• SessionInit函數(shù)實(shí)現(xiàn)Session的初始化，操作成功則返回此新的Session變量
• SessionRead函數(shù)返回sid所代表的Session變量，如果不存在，那么將以sid為參數(shù)調(diào)用SessionInit函數(shù)創(chuàng)建并返回一個(gè)新的Session變量
• SessionDestroy函數(shù)用來(lái)銷(xiāo)毀sid對(duì)應(yīng)的Session變量
• SessionGC根據(jù)maxLifeTime來(lái)刪除過(guò)期的數(shù)據(jù)

那么Session接口需要實(shí)現(xiàn)什么樣的功能呢？有過(guò)Web開(kāi)發(fā)經(jīng)驗(yàn)的讀者知道，對(duì)Session的處理基本就 設(shè)置值、讀取值、刪除值以及獲取當(dāng)前sessionID這四個(gè)操作，所以我們的Session接口也就實(shí)現(xiàn)這四個(gè)操作。

type Session interface {
    Set(key, value interface{}) error //set session value
    Get(key interface{}) interface{}  //get session value
    Delete(key interface{}) error     //delete session value
    SessionID() string                //back current sessionID
}

以上設(shè)計(jì)思路來(lái)源于database/sql/driver，先定義好接口，然后具體的存儲(chǔ)session的結(jié)構(gòu)實(shí)現(xiàn)相應(yīng)的接口并注冊(cè)后，相應(yīng)功能這樣就可以使用了，以下是用來(lái)隨需注冊(cè)存儲(chǔ)session的結(jié)構(gòu)的Register函數(shù)的實(shí)現(xiàn)。

var provides = make(map[string]Provider)

// Register makes a session provide available by the provided name.
// If Register is called twice with the same name or if driver is nil,
// it panics.
func Register(name string, provider Provider) {
    if provider == nil {
        panic("session: Register provide is nil")
    }
    if _, dup := provides[name]; dup {
        panic("session: Register called twice for provide " + name)
    }
    provides[name] = provider
}

全局唯一的Session ID

Session ID是用來(lái)識(shí)別訪問(wèn)Web應(yīng)用的每一個(gè)用戶(hù)，因此必須保證它是全局唯一的（GUID），下面代碼展示了如何滿(mǎn)足這一需求：

func (manager *Manager) sessionId() string {
    b := make([]byte, 32)
    if _, err := io.ReadFull(rand.Reader, b); err != nil {
        return ""
    }
    return base64.URLEncoding.EncodeToString(b)
}

session創(chuàng)建

我們需要為每個(gè)來(lái)訪用戶(hù)分配或獲取與他相關(guān)連的Session，以便后面根據(jù)Session信息來(lái)驗(yàn)證操作。SessionStart這個(gè)函數(shù)就是用來(lái)檢測(cè)是否已經(jīng)有某個(gè)Session與當(dāng)前來(lái)訪用戶(hù)發(fā)生了關(guān)聯(lián)，如果沒(méi)有則創(chuàng)建之。

func (manager *Manager) SessionStart(w http.ResponseWriter, r *http.Request) (session Session) {
    manager.lock.Lock()
    defer manager.lock.Unlock()
    cookie, err := r.Cookie(manager.cookieName)
    if err != nil || cookie.Value == "" {
        sid := manager.sessionId()
        session, _ = manager.provider.SessionInit(sid)
        cookie := http.Cookie{Name: manager.cookieName, Value: url.QueryEscape(sid), Path: "/", HttpOnly: true, MaxAge: int(manager.maxlifetime)}
        http.SetCookie(w, &cookie)
    } else {
        sid, _ := url.QueryUnescape(cookie.Value)
        session, _ = manager.provider.SessionRead(sid)
    }
    return
}

我們用前面login操作來(lái)演示session的運(yùn)用：

func login(w http.ResponseWriter, r *http.Request) {
    sess := globalSessions.SessionStart(w, r)
    r.ParseForm()
    if r.Method == "GET" {
        t, _ := template.ParseFiles("login.gtpl")
        w.Header().Set("Content-Type", "text/html")
        t.Execute(w, sess.Get("username"))
    } else {
        sess.Set("username", r.Form["username"])
        http.Redirect(w, r, "/", 302)
    }
}

操作值：設(shè)置、讀取和刪除

SessionStart函數(shù)返回的是一個(gè)滿(mǎn)足Session接口的變量，那么我們?cè)撊绾斡盟麃?lái)對(duì)session數(shù)據(jù)進(jìn)行操作呢？

上面的例子中的代碼session.Get("uid")已經(jīng)展示了基本的讀取數(shù)據(jù)的操作，現(xiàn)在我們?cè)賮?lái)看一下詳細(xì)的操作:

func count(w http.ResponseWriter, r *http.Request) {
    sess := globalSessions.SessionStart(w, r)
    createtime := sess.Get("createtime")
    if createtime == nil {
        sess.Set("createtime", time.Now().Unix())
    } else if (createtime.(int64) + 360) < (time.Now().Unix()) {
        globalSessions.SessionDestroy(w, r)
        sess = globalSessions.SessionStart(w, r)
    }
    ct := sess.Get("countnum")
    if ct == nil {
        sess.Set("countnum", 1)
    } else {
        sess.Set("countnum", (ct.(int) + 1))
    }
    t, _ := template.ParseFiles("count.gtpl")
    w.Header().Set("Content-Type", "text/html")
    t.Execute(w, sess.Get("countnum"))
}

通過(guò)上面的例子可以看到，Session的操作和操作key/value數(shù)據(jù)庫(kù)類(lèi)似:Set、Get、Delete等操作

因?yàn)镾ession有過(guò)期的概念，所以我們定義了GC操作，當(dāng)訪問(wèn)過(guò)期時(shí)間滿(mǎn)足GC的觸發(fā)條件后將會(huì)引起GC，但是當(dāng)我們進(jìn)行了任意一個(gè)session操作，都會(huì)對(duì)Session實(shí)體進(jìn)行更新，都會(huì)觸發(fā)對(duì)最后訪問(wèn)時(shí)間的修改，這樣當(dāng)GC的時(shí)候就不會(huì)誤刪除還在使用的Session實(shí)體。

session重置

我們知道，Web應(yīng)用中有用戶(hù)退出這個(gè)操作，那么當(dāng)用戶(hù)退出應(yīng)用的時(shí)候，我們需要對(duì)該用戶(hù)的session數(shù)據(jù)進(jìn)行銷(xiāo)毀操作，上面的代碼已經(jīng)演示了如何使用session重置操作，下面這個(gè)函數(shù)就是實(shí)現(xiàn)了這個(gè)功能：

//Destroy sessionid
func (manager *Manager) SessionDestroy(w http.ResponseWriter, r *http.Request){
    cookie, err := r.Cookie(manager.cookieName)
    if err != nil || cookie.Value == "" {
        return
    } else {
        manager.lock.Lock()
        defer manager.lock.Unlock()
        manager.provider.SessionDestroy(cookie.Value)
        expiration := time.Now()
        cookie := http.Cookie{Name: manager.cookieName, Path: "/", HttpOnly: true, Expires: expiration, MaxAge: -1}
        http.SetCookie(w, &cookie)
    }
}

session銷(xiāo)毀

我們來(lái)看一下Session管理器如何來(lái)管理銷(xiāo)毀,只要我們?cè)贛ain啟動(dòng)的時(shí)候啟動(dòng)：

func init() {
    go globalSessions.GC()
}

func (manager *Manager) GC() {
    manager.lock.Lock()
    defer manager.lock.Unlock()
    manager.provider.SessionGC(manager.maxlifetime)
    time.AfterFunc(time.Duration(manager.maxlifetime), func() { manager.GC() })
}

我們可以看到GC充分利用了time包中的定時(shí)器功能，當(dāng)超時(shí)maxLifeTime之后調(diào)用GC函數(shù)，這樣就可以保證maxLifeTime時(shí)間內(nèi)的session都是可用的，類(lèi)似的方案也可以用于統(tǒng)計(jì)在線用戶(hù)數(shù)之類(lèi)的。

總結(jié)

至此 我們實(shí)現(xiàn)了一個(gè)用來(lái)在Web應(yīng)用中全局管理Session的SessionManager，定義了用來(lái)提供Session存儲(chǔ)實(shí)現(xiàn)Provider的接口,下一小節(jié)，我們將會(huì)通過(guò)接口定義來(lái)實(shí)現(xiàn)一些Provider,供大家參考學(xué)習(xí)。