Go实现Session管理需生成安全随机session ID并设HttpOnly Cookie,用sync.Map并发安全存储含过期时间的SessionData,通过中间件自动加载验证,并定期goroutine清理过期项。
用 Go 实现 Session 管理,核心是:生成唯一 session ID、通过 Cookie 传给客户端、在服务端用内存(如 map)关联用户数据,并做好过期和并发安全。下面直接说怎么做,不绕弯。
生成并设置 Session ID 到 Cookie
每次用户首次访问,生成随机、足够长的字符串作为 session ID,写入 HT
TP 响应 Cookie。注意设好 Domain、Path、HttpOnly 和 MaxAge:
- 用
crypto/rand生成安全随机字节,再转成 hex 或 base64 字符串 - Cookie 名建议用
session_id,HttpOnly=true防 XSS 窃取 -
MaxAge设为正数(秒),比如 1800 表示 30 分钟后过期;设为 0 表示浏览器关闭即失效 - 避免明文存敏感信息,只存 ID,真实数据放服务端
用 sync.Map 安全存储 Session 数据
Go 标准库的 sync.Map 适合高并发读多写少的场景,比普通 map + mutex 更轻量:
- key 是 session ID(string),value 可以是自定义结构体,比如:
type SessionData { Username string; Created time.Time; ExpiresAt time.Time } - 每次请求从 Cookie 读 ID,查
sync.Map获取数据;查不到或已过期,就新建一个 - 写入时用
Store(key, value),读取用Load(key),删除用Delete(key) - 注意:不要依赖
sync.Map的遍历做清理,需另起 goroutine 定期扫描过期项
请求中自动加载和验证 Session
写一个中间件,在每个请求开头解析 Cookie、加载 Session、检查是否有效:
- 从
r.Cookie("session_id")取值,失败则新建 session 并写回 Cookie - 用 ID 查
sync.Map,若存在且ExpiresAt.After(time.Now())为真,视为有效 - 把 session 数据注入
r.Context(),后续 handler 可通过r.Context().Value()拿到 - 如果 session 过期,可清空旧 ID、发新 Cookie,或跳转登录页
简单清理过期 Session
内存不清理会一直涨,但不用太复杂。一个轻量做法是启动一个 goroutine,每 5 分钟扫一次:
- 遍历
sync.Map(用Range()),对每个 entry 检查ExpiresAt - 过期的直接
Delete(),不阻塞主逻辑 - 如果业务要求强实时,可在每次读取时顺带检查并删——但注意
Range()不支持删除,得用其他方式标记
基本上就这些。不用第三方库也能跑稳中小型应用。关键是 ID 要够随机、Cookie 要设安全属性、内存操作要线程安全、过期逻辑要明确。写起来几十行,但细节决定是否可靠。
