不能直接用 http.Request 存用户登录状态,因为HTTP无状态,req.Context()或临时变量无法跨请求保留;必须通过Set-Cookie下发session_id,并在服务端持久化存储、校验、销毁。
为什么不能直接用 http.Request 存用户登录状态
HTTP 是无状态协议,每次请求都是独立的。把用户 ID 写进 req.Context() 或临时变量里,下一次请求就丢了。真正有效的会话必须绑定到客户端(通常是通过 Cookie),并在服务端可查、可续、可销毁。
常见错误是手动拼 session_id 字符串、用全局 map 存 session 数据——这在多实例部署时立即失效,且没有过期清理机制。
- 必须通过
Set-Cookie响应头下发唯一session_id - 服务端需持久化存储该 ID 对应的用户数据(如 user_id、login_at、expires_at)
- 每次请求都要校验
session_id是否存在、未过期、签名是否被篡改
用 gorilla/sessions 快速启用基于 Cookie 的会话
这是目前最稳定、文档最清晰的 Go 会话库,支持内存、Redis、PostgreSQL 等多种后端,且默认开启 HMAC 签名防篡改。
基础用法只需三步:
立即学习“go语言免费学习笔记(深入)”;
- 初始化 store:
store := sessions.NewCookieStore([]byte("your-secret-key"))(密钥至少 32 字节) - 在 handler 中获取 session:
session, _ := store.Get(r, "my-session") - 写入并保存:
session.Values["user_id"] = 123; session.Save(r, w)
注意:session.Save() 必须在写响应体之前调用,否则 Cookie 不会下发;若用 HTTPS,记得设置 session.Options.HttpOnly = true 和 Secure = true。
把 session 存到 Redis 而不是内存里
本地内存 store(NewCookieStore)只适合单机开发。生产环境必须用 Redis,否则负载均衡下用户反复登录。
gorilla/sessions 本身不直接支持 Redis,需配合 gorilla/securecookie + 自定义 Store 实现,但更推荐用封装好的 github.com/gorilla/sessions/redis(v4+):
import "github.com/gorilla/sessions/redis"
client := redis.NewClient(&redis.Options{Addr: "localhost:6379"})
store, _ := redis.NewStore(10, "tcp", "localhost:6379", "", []byte("secret"))
关键点:
- Redis key 命名空间由 store 自动处理,无需手动拼接
- session 过期时间由
store.Options.MaxAge控制,Redis TTL 会自动同步 - 务必禁用
Save()时的延迟写入(默认已关),避免并发请求覆盖 session
用户登出时不只是清空 session.Values
仅执行 session.Values = make(map[interface{}]interface{}) 并 Save(),只是让服务端数据为空,但 Cookie 仍有效,攻击者可能重放旧 session_id 继续访问。
正确做法是两步清除:
- 服务端删除 Redis 中对应 key:
store.RedisClient.Del(ctx, "session:"+session.ID) - 客户端强制失效 Cookie:
http.SetCookie(w, &http.Cookie{Name: "session", MaxAge: -1, Path: "/"})
更稳妥的做法是:登出时生成新 session_id(调用 session.Options.MaxAge = 0; session.Save()),再显式删旧记录。很多团队漏掉第二步,导致登出不彻底。
