Cookie 与 Session

Cookie 和 Session 是用于用户验证的传统方案，通常我们会将它们结合使用来保证更高的安全性。GoFrame 为此提供了非常方便的管理方法。SessionId 默认通过 Cookie 传递，也可以在设置后通过请求头传递。

Cookie

GoFrame 的 Cookie 变量默认有效时间为1年，你也可以在设置变量时自行更改有效时长。

在 internal/controller/hello 文件夹下有一个默认创建的控制器（controller），我们可以用它来测试 cookie 的用法：

func (c *ControllerV1) Hello(ctx context.Context, req *v1.HelloReq) (res *v1.HelloRes, err error) {
	r := g.RequestFromCtx(ctx)
	sessionID := "SessionID"
	r.Cookie.SetSessionId(sessionID)
	r.Response.Writeln("Set session id success")
	return
}

我们这里通过上下文获取到了请求对象并且在cookie中设置了session id。

打开浏览器，开启开发者工具并打开链接：http://localhost:8000/hello.

你将会在请求头中看到 Set-Cookie：

Set-Cookie: gfsessionid=SessionID; Path=/; Expires=<your expire time>

本质上 Cookie 的 SetSessionId 方法只是将session id赋值给了 gfsessionid，你也可以使用 Set() 方法来设置其他的键值对。这里有一些其他的 Cookie 方法。

r.Cookie.SetCookie("MyCookieKey", "MyCookieValue", "", "/", 0)

Session

GoFrame 提供了用于管理 session 的包 gsession，根据存储 Session 方式的不同分为四种类型：

文件存储模式适用于大多数情况，因此我们首先从它开始。你也可以在这里找到有关 gsession 包的详细信息。

Session 的默认有效时长为 24 小时，你也可以在初始化服务的时候设置它：

s := g.Server()
s.SetSessionMaxAge(time.Hour)

func GenerateSessionId(r *ghttp.Request) string {
	var (
		address = r.RemoteAddr
		header  = fmt.Sprintf("%v", r.Header)
	)
	return guid.S([]byte(address), []byte(header))
}

func (c *ControllerV1) Hello(ctx context.Context, req *v1.HelloReq) (res *v1.HelloRes, err error) {
	r := g.RequestFromCtx(ctx)
	sessionID := GenerateSessionId(r)
	r.Cookie.SetSessionId(sessionID)
	r.Session.SetId(SessionId)
	r.Session.Set("SessionId "+sessionID, "Here is your secret data")
	r.Response.Write(r.Session.Data())
	return
}

你可以用上面提到的方法，通过 Cookie 和 Session 来设计并创建自己的认证系统。