Go語(yǔ)言中如何確保Cookie數(shù)據(jù)的安全傳輸

什么是Cookie

Cookie（也叫Web Cookie或?yàn)g覽器Cookie）是服務(wù)器發(fā)送到用戶瀏覽器并保存在本地的一小塊數(shù)據(jù)，它會(huì)在瀏覽器下次向同一服務(wù)器再發(fā)起請(qǐng)求時(shí)被攜帶并發(fā)送到服務(wù)器上。通常，它用于告知服務(wù)端兩個(gè)請(qǐng)求是否來(lái)自同一瀏覽器，如保持用戶的登錄狀態(tài)。Cookie使基于無(wú)狀態(tài)的HTTP協(xié)議記錄穩(wěn)定的狀態(tài)信息成為了可能。

Cookie主要用于以下三個(gè)方面：

• 會(huì)話狀態(tài)管理（如用戶登錄狀態(tài)、購(gòu)物車、游戲分?jǐn)?shù)或其它需要記錄的信息）
• 個(gè)性化設(shè)置（如用戶自定義設(shè)置、主題等）
• 瀏覽器行為跟蹤（如跟蹤分析用戶行為等）

Go語(yǔ)言如何表示Cookie

在Go的net/http庫(kù)中使用http.Cookie結(jié)構(gòu)體表示一個(gè)Cookie數(shù)據(jù)，調(diào)用http.SetCookie函數(shù)則會(huì)告訴終端用戶的瀏覽器把給定的http.Cookie值設(shè)置到瀏覽器Cookie里，類似下面：

func someHandler(w http.ResponseWriter, r *http.Request) {
 c := http.Cookie{
  Name: "UserName",
  Value: "Casey",
 }
 http.SetCookie(w, &c)
}

http.Cookie結(jié)構(gòu)體類型的定義如下：

type Cookie struct {
  Name string
  Value string

  Path    string  // optional
  Domain   string  // optional
  Expires  time.Time // optional
  RawExpires string  // for reading cookies only

  // MaxAge=0 means no 'Max-Age' attribute specified.
  // MaxAge<0 means delete cookie now, equivalently 'Max-Age: 0'
  // MaxAge>0 means Max-Age attribute present and given in seconds
  MaxAge  int
  Secure  bool
  HttpOnly bool
  SameSite SameSite
  Raw   string
  Unparsed []string // Raw text of unparsed attribute-value pairs
}

Name和Value字段就不多說(shuō)了，單獨(dú)針對(duì)幾個(gè)需要解釋的字段進(jìn)行說(shuō)明。

Domain

默認(rèn)值是當(dāng)前正在訪問(wèn)的Host的域名，假設(shè)我們現(xiàn)在正在訪問(wèn)的是www.example.com，如果需要其他子域名也能夠訪問(wèn)到正在設(shè)置的Cookie值的話，將它設(shè)置為example.com 。注意，只有正在被設(shè)置的Cookie需要被其他子域名的服務(wù)訪問(wèn)到時(shí)才這么設(shè)置。

c := Cookie{
 ......
 Domain: "example.com",
}

Path

設(shè)置當(dāng)前的 Cookie 值只有在訪問(wèn)指定路徑時(shí)才能被服務(wù)器程序讀取。默認(rèn)為服務(wù)端應(yīng)用程序上的任何路徑，但是您可以使用它限制為特定的子目錄。例如：

c := Cookie{
 Path: "/app/",
}

Secure

標(biāo)記為Secure 的Cookie只應(yīng)通過(guò)被HTTPS協(xié)議加密過(guò)的請(qǐng)求發(fā)送給服務(wù)端。但即便設(shè)置了 Secure 標(biāo)記，敏感信息也不應(yīng)該通過(guò)Cookie傳輸，因?yàn)镃ookie有其固有的不安全性，Secure 標(biāo)記也無(wú)法提供確實(shí)的安全保障。從 Chrome 52 和 Firefox 52 開(kāi)始，不安全的站點(diǎn)（http:）無(wú)法使用Cookie的 Secure 標(biāo)記。

HttpOnly

為避免跨域腳本 (XSS) 攻擊，通過(guò)JavaScript的API無(wú)法訪問(wèn)帶有 HttpOnly 標(biāo)記的Cookie，它們只應(yīng)該發(fā)送給服務(wù)端。如果包含服務(wù)端Session 信息的Cookie 不想被客戶端JavaScript 腳本調(diào)用，那么就應(yīng)該為其設(shè)置 HttpOnly 標(biāo)記。

安全地傳輸Cookie

接下來(lái)我們探討兩種安全傳輸Cookie的方法

對(duì)Cookie數(shù)據(jù)進(jìn)行數(shù)字簽名

對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名是在數(shù)據(jù)上添加“簽名”的行為，以便可以驗(yàn)證其真實(shí)性。不需要對(duì)數(shù)據(jù)進(jìn)行加密或屏蔽。

簽名的工作方式是通過(guò)散列-我們對(duì)數(shù)據(jù)進(jìn)行散列，然后將數(shù)據(jù)與數(shù)據(jù)散列一起存儲(chǔ)在Cookie中。然后，當(dāng)用戶將Cookie發(fā)送給我們時(shí)，我們?cè)俅螌?duì)數(shù)據(jù)進(jìn)行哈希處理，并驗(yàn)證其是否與我們創(chuàng)建的原始哈希匹配。

我們不希望用戶也用篡改后的數(shù)據(jù)創(chuàng)建新的哈希，因此經(jīng)常會(huì)看到使用HMAC之類的哈希算法，以便可以使用密鑰對(duì)數(shù)據(jù)進(jìn)行哈希。這樣可以防止最終用戶同時(shí)編輯數(shù)據(jù)和數(shù)字簽名（哈希）。

JWT也是使用的這種數(shù)字簽名的方式進(jìn)行傳輸?shù)摹?/p>

上面的數(shù)據(jù)簽名過(guò)程并不需要我們自己去實(shí)現(xiàn)，我們可以在Go中使用gorilla/securecookie的程序包來(lái)完成此操作，在該程序包中，你可以在創(chuàng)建SecureCookie時(shí)為其提供哈希密鑰，然后使用該對(duì)象來(lái)保護(hù)你的Cookie。

對(duì)Cookie數(shù)據(jù)進(jìn)行簽名：

//var s = securecookie.New(hashKey, blockKey)
var hashKey = securecookie.GenerateRandomKey(64)
var s = securecookie.New(hashKey, nil)

func SetCookieHandler(w http.ResponseWriter, r *http.Request) {
 encoded, err := s.Encode("cookie-name", "cookie-value")
 if err == nil {
  cookie := &http.Cookie{
   Name: "cookie-name",
   Value: encoded,
   Path: "/",
  }
  http.SetCookie(w, cookie)
  fmt.Fprintln(w, encoded)
 }

解析被簽名的 Cookie:

func ReadCookieHandler(w http.ResponseWriter, r *http.Request) {
 if cookie, err := r.Cookie("cookie-name"); err == nil {
  var value string
  if err = s.Decode("cookie-name", cookie.Value, &value); err == nil {
   fmt.Fprintln(w, value)
  }
 }
}

注意這里的Cookie數(shù)據(jù)未加密，僅僅是被編碼了，任何人都可以把Cookie數(shù)據(jù)解碼回來(lái)。

加密Cookie 數(shù)據(jù)

每當(dāng)將數(shù)據(jù)存儲(chǔ)在Cookie中時(shí)，請(qǐng)始終盡量減少存儲(chǔ)在Cookie中的敏感數(shù)據(jù)量。不要存儲(chǔ)用戶密碼之類的東西，并確保任何編碼數(shù)據(jù)也沒(méi)有此信息。在某些情況下，開(kāi)發(fā)人員在不知不覺(jué)中將敏感數(shù)據(jù)存儲(chǔ)在Cookie或JWT中，因?yàn)樗鼈兪莃ase64編碼的，但實(shí)際上任何人都可以解碼該數(shù)據(jù)。它已編碼，未加密。

這是一個(gè)很大的錯(cuò)誤，因此，如果你擔(dān)心意外存儲(chǔ)敏感內(nèi)容，建議 你使用gorilla/securecookie之類的軟件包。

之前我們討論了如何將其用于對(duì)Cookie進(jìn)行數(shù)字簽名，但是securecookie也可以用于加密和解密Cookie數(shù)據(jù)，以使其無(wú)法輕松解碼和讀取。

要使用該軟件包加密Cookie，只需在創(chuàng)建SecureCookie實(shí)例時(shí)傳入一個(gè)blockKey即可。

將上面簽名Cookie的代碼片段進(jìn)行一些小改動(dòng)，其他地方完全不用動(dòng)，securecookie包會(huì)幫助我們進(jìn)行Cookie的加密和解密：

var hashKey = securecookie.GenerateRandomKey(64)
var blockKey = securecookie.GenerateRandomKey(32)
var s = securecookie.New(hashKey, blockKey)

總結(jié)

今天的文章除了闡述如何使用Go語(yǔ)言安全地傳輸Cookie數(shù)據(jù)外，再次格外強(qiáng)調(diào)一遍，編碼和加密的不同，從數(shù)據(jù)可讀性上看，兩者差不多，但本質(zhì)上是完全不一樣的：

• 編碼使用公開(kāi)可用的方案將數(shù)據(jù)轉(zhuǎn)換為另一種格式，以便可以輕松地將其反轉(zhuǎn)。
• 加密將數(shù)據(jù)轉(zhuǎn)換為另一種格式，使得只有特定的個(gè)人才能逆轉(zhuǎn)轉(zhuǎn)換。

我們?cè)谧鰯?shù)據(jù)傳輸時(shí)一定要記住兩者的區(qū)別，某種意義上，我覺(jué)得記住這兩點(diǎn)的區(qū)別比你學(xué)會(huì)今天文章里怎么安全傳輸Cookie更重要。

到此這篇關(guān)于Go語(yǔ)言中如何確保Cookie數(shù)據(jù)的安全傳輸?shù)奈恼戮徒榻B到這了,更多相關(guān)Go Cookie數(shù)據(jù)傳輸內(nèi)容請(qǐng)搜索億速云以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持億速云！