基于cookie的用户登录状态管理

cookie是什么

先来花5分钟看完这篇文章：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies

看完上文，相信大家对cookie已经有了一个整体的概念，我再强调一下，cookie是一个客户端概念，它是存储在浏览器本地的一小段文本（通常由服务器来生成这段文本）。

cookie的作用

如上文所说，cookie有许多作用，如会话状态管理，个性化设置，浏览器行为跟踪，客户端数据的存储等等。本篇文章就来讲讲基于cookie的用户登录状态管理。

插一句哈，一般提到cookie，还会有一个叫session的家伙和它一起出现，下篇文章我会讲到它，以及两者的区别。

cookie的产生过程

如上图所示，客户端携带账号和密码向服务器发起请求，服务器在校验通过后，通过HTTP Respose Header中的Set-Cookie头部，将一小段文本写入客户端浏览器，在以后的每个客户端HTTP Request Header的Cookie头部中会自动携带这段文本。

基于cookie的用户登录状态管理

下面我基于golang和gin框架（中间件使用比较舒服）来简单的实现一个基于cookie的用户登录状态管理demo

package main

import (
	"net/http"
	"time"

	"github.com/gin-gonic/gin"
)

func main() {
	r := gin.Default()

	r.GET("/login", Login)

    // 需要登陆保护的
    auth := r.Group("")
	auth.Use(AuthRequired())
	{
		auth.GET("/me", UserInfo)
		auth.GET("/logout", Logout)
	}

	r.Run("localhost:9000")
}

// 登陆
func Login(c *gin.Context) {
    // 为了演示方便，我直接通过url明文传递账号密码，实际生产中应该用HTTP POST在body中传递
	userID := c.Query("user_id")
	password := c.Query("password")

	// 用户身份校验（查询数据库）
	if userID == "007" && password == "007" {
		// 生成cookie
		expiration := time.Now()
		expiration = expiration.AddDate(0, 0, 1)
		// 实际生产中我们可以加密userID
		cookie := http.Cookie{Name: "userID", Value: userID, Expires: expiration}
		http.SetCookie(c.Writer, &cookie)

		c.JSON(http.StatusOK, gin.H{"msg": "Hello " + userID})
		return
	}
	c.JSON(http.StatusBadRequest, gin.H{"msg": "账号或密码错误"})
}

// 检测是否登陆的中间件
func AuthRequired() gin.HandlerFunc {
	return func(c *gin.Context) {
		cookie, _ := c.Request.Cookie("userID")
		if cookie == nil {
			c.JSON(http.StatusUnauthorized, gin.H{"msg": "请先登陆"})
			c.Abort()
		}
		// 实际生产中应校验cookie是否合法
		c.Next()
	}
}

// 查看用户个人信息
func UserInfo(c *gin.Context) {
	c.JSON(http.StatusOK, gin.H{"msg": "007的个人页面"})
}

// 退出登陆
func Logout(c *gin.Context) {
	// 设置cookie过期
	expiration := time.Now()
	expiration = expiration.AddDate(0, 0, -1)
	cookie := http.Cookie{Name: "userID", Value: "", Expires: expiration}
	http.SetCookie(c.Writer, &cookie)

	c.JSON(http.StatusOK, gin.H{"msg": "退出成功"})
}

我们来看具体的演示流程和效果：

如下图所示，当我们退出后再去尝试访问个人页面时，会出现401没有权限的错误。

上述例子的缺点

先来说说上面的demo存在的问题吧，我们的退出登录函数本质是设置了一个过期了的cookie来覆盖以前发送给用户的正常cookie。

但是，这儿存在着一个重大的安全问题。如果用户将之前未过期的正常cookie记录下来（即本例子中的userID=007），即使调用了我们的logout接口，只要用户自己手动输入之前未过期的正常cookie，也是可以通过服务器的验证。

而且，最重要的是，我们无法让其失效，因为cookie的过期删除机制是由浏览器来控制的，但是当用户记录了cookie中的哪段文本后，在cookie到期后，浏览器只能删除存在于浏览器中的cookie，对用户自己记录下来的cookie确无能为力，也就是说这段cookie永远有效。（后面我们会讲一种叫json web token的技术，可以做到让我们签发的凭证自带过期机制，而不依赖浏览器）

当然，有同学会说，我们可以在服务器存储一份有效的cookie列表，在用户退出登录后，从有效列表中删除对应的cookie，这种在服务端维护用户状态的机制本质是session的思想，我们后面会讲基于session的用户登录状态管理。

再来说说cookie别的缺点：

跨站请求伪造

当然这个我们通过设置cookie的属性为HttpOnly，来禁止JavaScript读取cookie值，可以起到一定的防护作用。

当然，cookie也是有优点的，我们把用户的登录状态保存在客户端，这样就不需要每一次去访问数据库来检测用户是否登录，减少了系统的IO开销。

最后

本文希望通过一个不是很完美的demo来讲述基于cookie的用户登录状态管理，下期我们来讲讲session。