如何使用Golang处理Cookie_Golang net HTTP Cookie操作方法
Go语言通过net/http包支持HTTP Cookie的设置、读取与删除,需注意Path、Secure、HttpOnly、SameSite等安全配置,并推荐使用gorilla/securecookie等库签名加密敏感数据。
Go语言通过net/http包提供了对HTTP Cookie的完整支持,包括设置、读取、解析和安全控制。核心在于http.Cookie结构体和http.SetCookie、r.Cookie等方法,操作简洁但需注意细节(如路径、域名、Secure/HttpOnly标志)。
设置Cookie(服务端下发)
使用http.SetCookie向响应头写入Cookie。需构造http.Cookie结构体,关键字段包括Name、Value、Path、MaxAge、Secure、HttpOnly等。
MaxAge :不设过期时间(会话级Cookie,浏览器关闭即失效)-
MaxAge = 0:立即删除(浏览器收到后清除该Cookie) -
Secure = true:仅通过HTTPS传输(生产环境必须开启) -
HttpOnly = true:禁止JS访问,防XSS窃取
示例:
cookie := &http.Cookie{
Name: "session_id",
Value: "abc123xyz",
Path: "/",
MaxAge: 3600, // 1小时
HttpOnly: true,
Secure: true, // 开发时若无HTTPS可暂设false,上线务必true
SameSite: http.SameSiteLaxMode,
}
http.SetCookie(w, cookie)
读取Cookie(服务端接收)
用r.Cookie(name)获取单个Cookie,返回*http.Cookie和error;用r.Cookies()获取全部Cookie切片。
- 若Cookie不存在,
r.Cookie()返回http.ErrNoCookie错误,应显式判断 - Cookie的
Value是字符串,如需结构化数据(如用户ID、权限),建议先JSON序列化再存,读取后反序列化 - 不要直接信任客户端传来的Cookie值,尤其涉及权限或敏感操作时,需服务端校验(如查数据库、验证签名)
示例:
cookie, err := r.Cookie("session_id")
if err == http.ErrNoCookie {
http.Error(w, "未登录", http.StatusUnauthorized)
return
}
if err != nil {
http.Error(w, "读取Cookie失败", http.StatusInternalServerError)
return
}
fmt.Println("收到 session_id:", cookie.Value)
删除Cookie(服务端主动清除)
本质是下发一
个同名、空值、MaxAge=0 的Cookie,让浏览器覆盖原值并立即丢弃。
- 必须保证
Name、Path、Domain与原Cookie完全一致,否则无法清除 - 推荐显式设置
Path(如"/"),避免因路径不匹配导致清除失败 - 若原Cookie设了
Secure或SameSite,删除时也应保持一致
示例:
delCookie := &http.Cookie{
Name: "session_id",
Value: "",
Path: "/",
MaxAge: 0,
Secure: true,
HttpOnly: true,
}
http.SetCookie(w, delCookie)
进阶:签名与加密保护Cookie
标准Cookie明文传输,敏感信息(如用户ID、角色)不可直接存。推荐使用gorilla/securecookie或golang.org/x/crypto/nacl/secretbox等库做签名/加密。
- 签名(SecureCookie):防止篡改,适合存非敏感但需校验的数据(如user_id+timestamp)
- 加密(AES/NaCl):完全隐藏内容,适合存token、临时凭证等
- 避免自己实现加解密逻辑,优先选用成熟库并严格保管密钥
简单签名示例(需引入github.com/gorilla/securecookie):
var s = securecookie.New(
securecookie.GenerateRandomKey(32), // auth key
securecookie.GenerateRandomKey(32), // encrypt key
)
// 编码
encoded, err := s.Encode("session", map[string]interface{}{"uid": 123, "exp": time.Now().Add(time.Hour).Unix()})
// 解码
var value map[string]interface{}
err := s.Decode("session", encoded, &value)
基本上就这些。Cookie操作本身不复杂,但安全细节容易忽略——路径匹配、HTTPS强制、HttpOnly、SameSite策略、服务端校验缺一不可。
