Golang如何实现简单的Cookie管理_Golang Cookie读写与使用实践

Go语言通过net/http包提供Cookie支持，用于维持HTTP状态；可使用r.Cookie("name")读取指定Cookie或r.Cookies()获取全部；通过http.SetCookie(w, cookie)写入，需设置Name、Value、Path、MaxAge、HttpOnly、SameSite等字段保证安全；示例实现登录后设Cookie及校验登录状态；结合路由可完成简单会话控制，合理配置安全性参数可防范XSS与CSRF攻击。

在Go语言中处理HTTP请求时，Cookie是维持客户端状态的重要手段。虽然HTTP本身是无状态的协议，但通过Cookie可以在浏览器和服务器之间传递用户信息，比如登录状态、偏好设置等。Golang标准库 net/http 提供了对 Cookie 的原生支持，使用起来简洁高效。

读取客户端发送的Cookie

当客户端（如浏览器）发起请求时，会自动在 HTTP 头部附带已保存的 Cookie。在 Go 的 http.HandlerFunc 中，可以通过 Request 对象来读取这些 Cookie。

有两种常用方式：

• 使用 r.Cookie("name")：直接根据名称获取单个 Cookie，如果不存在会返回 http.ErrNoCookie 错误。
• 使用 r.Cookies()：获取所有 Cookie，返回一个 *http.Cookie 的切片。

假设客户端发送了一个名为 "username" 的 Cookie：

立即学习“go语言免费学习笔记（深入）”；

func readCookieHandler(w http.ResponseWriter, r *http.Request) {
	cookie, err := r.Cookie("username")
	if err != nil {
		if err == http.ErrNoCookie {
			http.Error(w, "未找到 username Cookie", http.StatusNotFound)
			return
		}
		http.Error(w, err.Error(), http.StatusBadRequest)
		return
	}

	fmt.Fprintf(w, "用户名: %s\n", cookie.Value)
}

向客户端写入Cookie

服务器可以通过响应头 Set-Cookie 向浏览器写入 Cookie。在 Go 中，使用 http.SetCookie 函数即可完成操作。该函数接收一个 http.ResponseWriter 和一个 *http.Cookie 结构体。

http.Cookie 结构体常见字段包括：

Melodio

Melodio是全球首款个性化AI流媒体音乐平台，能够根据用户场景或心情生成定制化音乐。

110

查看详情

• Name / Value：键值对，存储数据。
• Path：指定 Cookie 作用路径，"/" 表示整个域名下都有效。
• Domain：指定作用域名，例如 ".example.com"。
• Expires / MaxAge：控制过期时间。MaxAge 是秒数，比 Expires 更灵活。
• Secure：仅通过 HTTPS 传输。
• HttpOnly：防止 XSS 攻击，JavaScript 无法访问。
• SameSite：防范 CSRF，可设为 http.SameSiteStrictMode 或 http.SameSiteLaxMode。

func setCookieHandler(w http.ResponseWriter, r *http.Request) {
	cookie := &http.Cookie{
		Name:     "username",
		Value:    "gopher",
		Path:     "/",
		MaxAge:   3600, // 1小时
		HttpOnly: true,
		SameSite: http.SameSiteLaxMode,
	}

	http.SetCookie(w, cookie)
	fmt.Fprint(w, "Cookie 已设置")
}

完整实践：模拟用户登录与状态保持

结合读写操作，可以实现一个简单的登录状态管理逻辑。

假设我们有一个简易登录接口，成功后设置 Cookie，另一个接口检查是否已登录。

func loginHandler(w http.ResponseWriter, r *http.Request) {
	// 模拟登录验证
	if r.URL.Query().Get("user") == "admin" {
		cookie := &http.Cookie{
			Name:   "logged_in",
			Value:  "true",
			Path:   "/",
			MaxAge: 3600,
		}
		http.SetCookie(w, cookie)
		fmt.Fprint(w, "登录成功")
	} else {
		http.Error(w, "登录失败", http.StatusUnauthorized)
	}
}

func statusHandler(w http.ResponseWriter, r *http.Request) {
	cookie, err := r.Cookie("logged_in")
	if err != nil {
		fmt.Fprint(w, "未登录")
		return
	}
	if cookie.Value == "true" {
		fmt.Fprint(w, "当前已登录")
	} else {
		fmt.Fprint(w, "登录状态无效")
	}
}

注册路由并运行服务：

func main() {
	http.HandleFunc("/login", loginHandler)
	http.HandleFunc("/status", statusHandler)
	http.ListenAndServe(":8080", nil)
}

访问 /login?user=admin 设置 Cookie，再访问 /status 可看到“当前已登录”。

基本上就这些。Golang 的 Cookie 管理不复杂但容易忽略安全设置。合理使用 HttpOnly、SameSite 和 MaxAge 能有效提升应用安全性。对于更复杂的会话管理，可在 Cookie 基础上封装 Session 机制，或结合 JWT 实现无状态认证。

以上就是Golang如何实现简单的Cookie管理_Golang Cookie读写与使用实践的详细内容，更多请关注php中文网其它相关文章！