Golang Gin 入门 (三) golang入门视频教程
ninehua 2024-12-30 06:03 7 浏览
接上,预期中的调用流程如下图
简单逻辑代码
web/user.go
func (c *UserHandler) RegisterRoutes(server *gin.Engine) {
// 分组注册
up := server.Group("/users")
up.POST("/signup", c.SignUp)
up.POST("/login", c.Login)
up.POST("/edit", c.Edit)
up.GET("/profile", c.Profile)
}
type UserHandler struct {
svc *service.UserService
emailRegexExp *regexp2.Regexp
PasswordRegexExp *regexp2.Regexp
}
const (
// 定义邮箱的正则表达式
emailRegex = `^[a-zA-Z0-9._%+\-]+@[a-zA-Z0-9.\-]+\.[a-zA-Z]{2,}Golang Gin 入门 (三) - 今日头条
// 定义密码的正则表达式 至少8个字符 //包含大写字母 //包含小写字母 //包含数字 //包含特殊字符
passwordRegex = `^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{8,}Golang Gin 入门 (三) - 今日头条
)
func NewUserHandler(svc *service.UserService) *UserHandler {
return &UserHandler{
svc: svc,
emailRegexExp: regexp2.MustCompile(emailRegex, regexp2.None),
PasswordRegexExp: regexp2.MustCompile(passwordRegex, regexp2.None),
}
}
func (u *UserHandler) SignUp(context *gin.Context) {
type SingUpReq struct {
Email string `json:"email"`
ConfirmPassword string `json:"confirmPassword"`
Password string `json:"password"`
}
var req SingUpReq
// Bind 方法会根据 Content-Type 来解析你的数据req里面
// 解析错了,就直接回写一个 400(http.StatusBadRequest)的错误. c.AbortWithError(http.StatusBadRequest, err).SetType(ErrorTypeBind)
if err := context.Bind(&req); err != nil {
return
}
isEmail, err := u.emailRegexExp.MatchString(req.Email)
if err != nil {
context.String(http.StatusOK, "系统错误 %v", err)
return
}
if !isEmail {
context.String(http.StatusOK, "邮箱校验不通过")
return
}
isPassword, err := u.PasswordRegexExp.MatchString(req.Password)
if err != nil {
context.String(http.StatusOK, "系统错误 %v", err)
return
}
if !isPassword {
context.String(http.StatusOK, "密码校验不通过")
return
}
if req.ConfirmPassword != req.Password {
context.String(http.StatusOK, "两次输入的密码不一致")
return
}
err = u.svc.Signup(context, domain.User{
Email: req.Email,
Password: req.Password,
})
if err != nil {
context.String(http.StatusOK, "系统错误 %v", err)
return
}
context.String(http.StatusOK, "注册成功")
//log.Printf("%v\n", req)
}
service/user.go
type UserService struct {
repo *repository.UserRepository
}
func NewUserService(repo *repository.UserRepository) *UserService {
return &UserService{repo: repo}
}
func (scv *UserService) Signup(ctx context.Context, u domain.User) error {
// 要考虑加密放在哪 然后存起来
return scv.repo.Create(ctx, u)
}
repository/user.go
type UserRepository struct {
dao *dao.UserDAO
}
func NewUserRepository(dao *dao.UserDAO) *UserRepository {
return &UserRepository{dao: dao}
}
func (r *UserRepository) Create(ctx context.Context, u domain.User) error {
return r.dao.Insert(ctx, dao.User{
Email: u.Email,
Password: u.Password,
})
}
func (r *UserRepository) FindById(int64) {
// 先从cache里找
// 再从dao里面找
// 找到了在回写cache
}
repository/dao/user.go
type UserDAO struct {
db *gorm.DB
}
func NewUserDAO(db *gorm.DB) *UserDAO {
return &UserDAO{db: db}
}
func (dao *UserDAO) Insert(ctx context.Context, u User) error {
now := time.Now().UnixMilli() // 存毫秒
u.Ctime = now
u.Utime = now
return dao.db.WithContext(ctx).Create(&u).Error
}
func InitTable(db *gorm.DB) error {
return db.AutoMigrate(&User{})
}
// User在DAO里直接对应数据库表
type User struct {
Id int64
Email string
Password string
// 创建时间和更新时间毫秒数,用time.time会涉及到时区,在数据库和应用层都会涉及到时区,可以选择用UTC时间戳,在前端转时区
Ctime int64
Utime int64
}
main.go组装好全部的东西,在抽取到不同的方法里面
func initWebServer() *gin.Engine {
engine := gin.Default()
engine.Use(cors.New(cors.Config{
//AllowOrigins: []string{"http://localhost:3000"},
AllowMethods: []string{"PUT", "PATCH", "GET", "POST", "OPTIONS"},
AllowHeaders: []string{"Content-Type", "authorization"},
//ExposeHeaders: []string{"x-jwt-token"},
AllowCredentials: true, //是否允许你带cookie之类的
AllowOriginFunc: func(origin string) bool {
if strings.HasPrefix(origin, "http://localhost") {
return true // 开发环境
}
return strings.Contains(origin, "your.company.com")
},
MaxAge: 12 * time.Hour,
}))
return engine
}
func initDB() *gorm.DB {
db, err := gorm.Open(mysql.Open("root:ssqj@easyviews.pw@tcp(10.1.125.32:3307)/webook"))
if err != nil {
panic(err)
}
err = dao.InitTable(db)
if err != nil {
panic(err)
}
return db
}
func initUser(server *gin.Engine, db *gorm.DB) {
ud := dao.NewUserDAO(db)
ur := repository.NewUserRepository(ud)
us := service.NewUserService(ur)
c := web.NewUserHandler(us)
c.RegisterRoutes(server)
}
func main() {
db := initDB()
server := initWebServer()
initUser(server, db)
if err := server.Run(":8080"); err != nil {
log.Printf("Listen err: %v\n", err)
}
}
调用注册接口,查看数据库是否写入
mysql> show tables;
+------------------+
| Tables_in_webook |
+------------------+
| users |
+------------------+
1 row in set (0.01 sec)
mysql> select * from users;
+----+-------------------+-------------+---------------+---------------+
| id | email | password | ctime | utime |
+----+-------------------+-------------+---------------+---------------+
| 1 | 2864048202@qq.com | Rrootroot1* | 1730300023836 | 1730300023836 |
+----+-------------------+-------------+---------------+---------------+
1 row in set (0.01 sec)
密码加密
密码怎么加密? 代码看上去没有问题,但是好像忘了一件事情:密码是敏感信息,需要加密存储。 问题来了:谁来加密?service 还是 repository 还是 dao? 怎么加密?怎么选择一个安全的加密算法? 敏感信息你要防两类人:研发,包括你和你的同事。攻击者。 PS:敏感信息应该是连日志都不能打。
关于密码加密的位置存在多种选择且各有理由:
- service 加密:加密被认为是业务概念,不是存储概念,这里选择 service 加密是因为认为加密是业务逻辑的一部分但不是 domain 应该管的。
- repository 加密:加密可被看作是存储概念,即 “加密存储”。
- dao 加密:加密是数据库概念,可以利用数据库本身的加密功能实现。
- domain 加密:加密是业务概念,认为用户(“User”)自己才知道怎么加密。这是编程中比较无正确答案的实践问题,不同的加密位置会影响到其他接口(如登录)的实现细节。
这种就是编程里面比较无聊的、没有正确答案的实践问题。这里我选择 service 加密,也就是认为加密是业务逻辑的一部分,但是它不是 domain 应该管的。如果你选择不同的加密位置,那么它会影响到你别的接口的实现细节,比如说登录。
加密算法的选择对系统安全性至关重要,攻击者拿到密码可能为所欲为。选择加密算法的标准是难破解,需考虑以下问题:
- 相同密码加密后结果应不同,防止很多用户使用简单密码(如 123456)时数据库存储值相同。
- 难以通过碰撞、彩虹表来破解。
常见加密算法安全性逐步提高的有:
- md5之类的哈希算法。
- 在哈希算法基础上引入盐值或进行多次哈希。
- PBKDF2、BCrypt这一类随机盐值的加密算法,同样的文本加密后的结果都不同。
bcrypt被称为号称最安全的加密算法,具有以下优点:
- 不需要自己生成盐值。
- 不需要额外存储盐值。
- 可以通过控制cost来控制加密性能。
- 同样的文本加密后的结果不同。 如果要使用它,需要使用golang.org/x/crypto。由于bcrypt限制密码长度不能超过 72 字节,所以在校验时要校验这个长度,只需要修改一下正则表达式即可。
使用bcrypt加密后无法解密,只能通过比较加密后的值来确定两个值是否相等。
func (scv *UserService) Signup(ctx context.Context, u domain.User) error {
// 要考虑加密放在哪 然后存起来
hash, err := bcrypt.GenerateFromPassword([]byte(u.Password), bcrypt.DefaultCost)
if err != nil {
return err
}
u.Password = string(hash)
return scv.repo.Create(ctx, u)
}
登录功能
大多数网站的资源需要登录才能访问,比如编辑和查看用户信息。
登录功能分为两件事:
- 实现登录功能
- 登录态校验
登录请求会被发送到/users/login。
在登录接口实现中,可以看出 service 和 repository 的分界线。service 会调用 repository 查找邮箱对应的用户,然后 service 会匹配输入的密码和数据库中保存的密码是否一致。如果用户没找到或者密码错误,都返回同一个 error。
// dao层
func (dao *UserDAO) FindByEmail(ctx context.Context, email string) (u User, err error) {
// err = dao.db.WithContext(ctx).First(&u,"email = ?",email).Error // 二选一
err = dao.db.WithContext(ctx).Where("email = ?", email).First(&u).Error
return u, err
}
// repository层
func (r *UserRepository) FindByEmail(ctx context.Context, email string) (domain.User, error) {
u, err := r.dao.FindByEmail(ctx, email)
if err != nil {
return domain.User{}, err
}
return domain.User{
Email: u.Email,
Password: u.Password,
}, err
}
//service层
func (scv *UserService) Login(ctx context.Context, email, password string) error {
// 先看有没有这个用户
u, err := scv.repo.FindByEmail(ctx, email)
if err != nil {
return ErrInvalidUserOrPaswword
}
//
err = bcrypt.CompareHashAndPassword([]byte(u.Password), []byte(password))
if err != nil {
return ErrInvalidUserOrPaswword
}
return nil
}
//web
func (c *UserHandler) Login(context *gin.Context) {
type LoginReq struct {
Email string `json:"email"`
Password string `json:"password"`
}
var req LoginReq
if err := context.Bind(&req); err != nil {
context.String(http.StatusOK, "系统错误")
return
}
err := c.svc.Login(context, req.Email, req.Password)
if err != nil {
context.String(http.StatusOK, "账户或密码错误")
return
}
context.String(http.StatusOK, "登录成功")
return
}
Cookie 和 Session
在登录成功后,当访问/users/profile时,面临如何确定用户是否已登录的问题。
HTTP 协议是无状态的,即连续发送两次请求时,HTTP 无法知道这两个请求都是同一个用户发出的,无法将上一次请求和这一次请求关联起来。
因此需要一种机制来记录状态,于是就有了 Cookie 和 Session。
Cookie 是浏览器存储在本地的一些数据,简单理解为存储在电脑上的键值对。由于 Cookie 存放在浏览器本地,所以很不安全。
在使用 Cookie 时要注意安全配置:
- Domain:设定 Cookie 可用的域名,按照最小化原则设置。
- Path:设定 Cookie 可用的路径,同样按照最小化原则设置。
- Max-Age 和 Expires:设置 Cookie 的过期时间,只保留必要时间。
- Http-Only:设置为 true 时,浏览器上的 JS 代码无法使用该 Cookie,应永远设置为 true。
- Secure:仅用于 HTTPS 协议,在生产环境永远设置为 true。
- SameSite:决定是否允许跨站发送 Cookie,尽量避免。
在面试初级工程师岗位时,能详细解释这些参数含义会赢得微小竞争优势。
由于 Cookie 具有不安全的特性,所以大部分时候只在 Cookie 中放一些不太关键的数据。关键数据希望放在后端存储,这个存储的东西叫做 Session。在登录场景中,可以通过 Session 来记录登录状态。
在使用 Session 进行登录时,关键在于服务器要给浏览器一个 sess_id(即 Session 的 ID)。后续每次请求都带上这个 Session ID,服务端就能通过这个 ID 知道发出请求的用户是谁。
Session 机制中后端服务器认 ID 不认人。这意味着如果攻击者拿到了用户的 Session ID,那么服务器就会把攻击者当成该用户。例如在图中,攻击者窃取到了 sess_id 后,就可以冒充用户。
由于 sess_id 是标识用户身份的东西,需要在每一次访问系统时携带。有以下几种方式:
- 最佳方式:使用 Cookie,将 sess_id 放到 Cookie 里面。因为 sess_id 自身没有任何敏感信息,所以放在 Cookie 中是可行的。
- 另一种方式:放在 Header 中,例如在 Header 里面带一个 sess_id,但这需要前端研发人员记得在 Header 中带上。
- 还可以:放在查询参数中,即 ?sess_id=xxx。
- 理论上也可以放在请求体(body)中,但基本没人这么做。
- 在一些禁用了 Cookie 功能的浏览器上,只能考虑后两种方式(放在 Header 中或查询参数中)。
在浏览器上,可以通过插件 cookieEditor 查看某个网站的 Cookie 信息。
可以使用 Gin 的 Session 插件来实现登录功能。一般遇到问题可以找插件,热门功能 Gin 通常有插件可用。这里提到的 Gin 的 Session 插件使用分为两部分:
- 在 middleware(中间件)里面接入,它会从 Cookie 中找到 sess_id,再根据 sess_id 找到对应的 Session。
- 拿到 Session 之后可以进行各种操作,例如在这里用来校验是否登录。其插件地址为 https://github.com/gin-contrib/sessions。
func initWebServer() *gin.Engine {
engine := gin.Default()
engine.Use(cors.New(cors.Config{
//AllowOrigins: []string{"http://localhost:3000"},
AllowMethods: []string{"PUT", "PATCH", "GET", "POST", "OPTIONS"},
AllowHeaders: []string{"Content-Type", "authorization"},
//ExposeHeaders: []string{"x-jwt-token"},
AllowCredentials: true, //是否允许你带cookie之类的
AllowOriginFunc: func(origin string) bool {
if strings.HasPrefix(origin, "http://localhost") {
return true // 开发环境
}
return strings.Contains(origin, "your.company.com")
},
MaxAge: 12 * time.Hour,
}))
store := cookie.NewStore([]byte("secret"))
// cookie 的名字叫ssid
engine.Use(sessions.Sessions("ssid", store))
engine.Use(middleware.NewLoginMiddlewareBuilder().Build())
return engine
}
// middleware.go
type LoginMiddlewareBuilder struct {
}
func NewLoginMiddlewareBuilder() *LoginMiddlewareBuilder {
return &LoginMiddlewareBuilder{}
}
func (l *LoginMiddlewareBuilder) Build() gin.HandlerFunc {
return func(ctx *gin.Context) {
if ctx.Request.URL.Path == "/users/login" || ctx.Request.URL.Path == "/users/signup" {
return // 登录和注册不需要校验
}
sess := sessions.Default(ctx)
if sess.Get("userId") == nil {
// 没有登录
ctx.AbortWithStatus(http.StatusUnauthorized)
return
}
}
}
// web
func (c *UserHandler) Login(context *gin.Context) {
type LoginReq struct {
Email string `json:"email"`
Password string `json:"password"`
}
var req LoginReq
if err := context.Bind(&req); err != nil {
context.String(http.StatusOK, "系统错误")
return
}
user, err := c.svc.Login(context, req.Email, req.Password)
if err != nil {
context.String(http.StatusOK, "账户或密码错误")
return
}
sess := sessions.Default(context)
sess.Set("userId", user.Id)
sess.Save()
context.String(http.StatusOK, "登录成功")
return
}
面试题
一、什么是 Cookie,什么是 Session?
- Cookie:
- Cookie 是浏览器存储在本地的一些数据,简单理解为存储在电脑上的键值对。例如,一些网站会将用户的偏好设置、登录状态等信息存储在 Cookie 中。
- Cookie 可以在不同的请求中被发送到服务器,服务器可以根据 Cookie 中的信息识别用户。但是,由于 Cookie 存储在客户端,所以安全性较低,容易被篡改或窃取。
- 在使用 Cookie 时,要注意安全配置,如按照最小化原则设置 Domain 和 Path、合理设置 Max-Age 和 Expires、将 Http-Only 设置为 true(防止浏览器上的 JS 代码使用 Cookie)、在生产环境将 Secure 设置为 true(仅用于 HTTPS 协议)、尽量避免使用 SameSite 允许跨站发送 Cookie。
- Session:
- 由于 Cookie 本身不安全的特性,大部分时候我们只在 Cookie 里面放一些不太关键的数据。关键数据我们希望放在后端,这个存储关键数据的东西就叫做 Session。
- 在登录场景中,可以通过 Session 来记录登录状态。服务器给浏览器一个 sess_id(Session 的 ID),后续每一次请求都带上这个 Session ID,服务端就能通过这个 ID 识别用户身份。
二、Cookie 和 Session 比起来有什么缺点?
- 安全性低:Cookie 存储在客户端,容易被篡改或窃取。而 Session 数据存储在服务器端,相对安全。
- 存储容量有限:Cookie 的存储容量通常较小,一般为 4KB 左右。而 Session 可以存储更多的数据。
- 性能影响:每次请求都需要发送 Cookie 数据,会增加网络传输量,对性能有一定影响。而 Session ID 通常较小,对网络传输的影响较小。
三、Session ID 可以放在哪里?这个问题,你要记得提起 Cookie 禁用的问题。
Session ID 可以放在以下几个地方:
- Cookie 中:这是最常见的方式。将 Session ID 放在 Cookie 中,每次请求时浏览器会自动发送 Cookie,服务器可以根据 Session ID 找到对应的 Session。但是,如果用户禁用了 Cookie,这种方式就不可行了。
- Header 中:可以在请求的 Header 中添加一个自定义的字段,用来携带 Session ID。例如,可以在 Header 里面带一个 sess_id。这需要前端的研发人员记得在每次请求时在 Header 中带上 Session ID。
- 查询参数中:可以将 Session ID 放在查询参数中,即 ?sess_id=xxx。但是这种方式不太安全,容易被用户看到和篡改。
- 理论上也可以放在请求体(body)中,但基本没人这么做。
在一些禁用了 Cookie 功能的浏览器上,可以考虑使用 Header 或查询参数的方式来携带 Session ID。
四、用户密码加密算法选取有什么注意事项?你用的是什么?
用户密码加密算法选取的注意事项:
- 难破解:选择加密算法的标准是难破解。要考虑相同的密码加密后的结果应该不同,防止很多用户使用简单密码(如 123456)时数据库存储值相同。同时,难以通过碰撞、彩虹表来破解。
- 安全性高:常见加密算法安全性逐步提高的有 md5 之类的哈希算法,但 md5 相对不安全;在哈希算法基础上引入盐值或进行多次哈希可以提高安全性;PBKDF2、BCrypt 这一类随机盐值的加密算法安全性更高,同样的文本加密后的结果都不同。
这里可以选择使用 BCrypt 加密算法,它有以下优点:
- 不需要自己生成盐值。
- 不需要额外存储盐值。
- 可以通过控制 cost 来控制加密性能。
- 同样的文本,加密后的结果不同。
如果要使用 BCrypt,需要使用 golang.org/x/crypto。由于 BCrypt 限制密码长度不能超过 72 字节,所以在校验时要校验这个长度,只需要修改一下正则表达式即可。
五、怎么做登录校验?核心是利用 Gin 的 middleware。
登录校验可以通过以下步骤实现:
登录接口实现:
- 在登录请求被发到 /users/login 上时,service 会调用 repository 查找邮箱所对应的用户。
- 然后 service 会匹配输入的密码和数据库中保存的是否一致。如果用户没找到或者密码错误,都返回同一个 error。
- 利用 Gin 的 middleware 进行登录校验:
Gin 的 Session 插件用起来分成两部分:
- 一个是在 middleware(中间件)里面接入,它会帮你从 Cookie 里面找到 sess_id,再根据 sess_id 找到对应的 Session。
- 另外一部分就是你拿到这个 Session 之后,就可以进行登录校验等操作。例如,可以在 Session 中存储用户的登录状态信息,当用户访问需要登录才能访问的资源(如 /users/profile)时,通过 middleware 检查 Session 中的登录状态信息,如果用户已登录,则允许访问,否则返回错误信息。
相关推荐
- Google Play版设备下周可升级安卓5.0
-
IT之家(www.ithome.com):GooglePlay版设备下周可升级安卓5.0上个月首次发布安卓5.0以及Nexus6和Nexus9时,谷歌曾表示Android5.0会在“未来几周”内推...
- 360网站卫士推出google字体加速方案
-
最近,有网友反映称谷歌官网域名google.com、谷歌香港google.com.hk都打不开,ping了一下google.com和google.com.hk两个域名的服务器情况,最后ping出来的I...
- 巨硬原味系统获取指南:直接从微软官方下载 Windows 10 系统镜像
-
本内容来源于@什么值得买APP,观点仅代表作者本人|作者:Licia_tia马上就是618了,想来大家一定都买了新电脑吧然后系统就成为了一个问题:如果买了品牌机,部分品牌带了一大把垃圾软件怎么办...
- 谷歌发布电子邮件新服务:Inbox
-
10月23日消息,据国外媒体报道,谷歌周三推出了一项被叫做“Inbox”(信箱)的新电子邮件服务。据报道,这项新服务能更好的整理用户电子邮件内容,并通过友好的界面自动呈现邮箱中包含的预约信息、航班信息...
- 轻量级Chrome OS Flex,居然比XP系统还流畅,快来试试
-
之前给大家分享过Win10LTSC2019,一款适合老电脑用的精简版系统。但如果你的电脑连这个系统运行起来都很困难,那么不妨试试ChromeOSFlex。ChromeOSFlex是谷歌今...
- 美媒:谷歌加紧打造AI驱动搜索引擎
-
来源:参考消息网参考消息网4月20日报道据美国《纽约时报》网站4月16日报道,谷歌计划彻底修改搜索引擎,以打败人工智能(AI)对手。今年3月,在得知韩国消费电子巨头三星公司正在考虑用微软公司的必应替...
- 谷歌地球专业版终于完全免费啦!
-
【环球科技综合报道】据美国科技博客TechCrunch1月31日报道,顾客现在可免费下载谷歌地球专业版啦!这款软件之前年费是399美元。资料图体验过谷歌地球(GoogleEarth)的用户可随心随...
- 谷歌将开放谷歌应用引擎App Engine
-
【环球科技报道记者陈薇】据美国《华尔街日报》5月6日消息,谷歌将开放谷歌应用引擎AppEngine,允许在其他公司的电脑服务器上运行。此举一定程度上是为了帮助开发人员应对有关数据必须在国内存储的...
- iOS 版 Chrome浏览器更新
-
iOS自带的Safari已经完全可以满足用户的日常使用需求,而且基本上是大多数用户的主力浏览器,但依然阻挡不了Chrome拥有不少死忠拥簇。iPhone6、iPhone6Plus带来...
- 提前三天教你们python制作万能抢购神器,学不会就准备过光棍节吧
-
目录前言:分析(x0)第一步...
- 倒计时开始,谷歌提醒用户播客Podcasts服务4月2日关闭
-
IT之家3月30日消息,谷歌近日已面向美国用户发布提醒,谷歌播客(GooglePodcasts)服务将于4月2日关停,敦促用户尽快完成迁移,建议将订阅导出到YouTubeMusi...
- 教你彻底解决烦人的电脑弹窗广告
-
弹窗广告是很多电脑用户难言的痛,尽管这种行为屡屡遭受谴责,但是在利益的趋势下却成了如牛皮癣的顽疾,屡禁不止,越禁越猖狂。最近,某专家建议联合执法打击弹窗广告违法行为,让人们原本早已麻木的神经再度紧绷起...
- 英伟达发布GeForce热修复驱动:解决Chrome崩溃等问题
-
本周二英伟达针对《蝙蝠侠:阿卡姆骑士》游戏发布了GeForce353.30WHQL认证优化版驱动,不过最近的英伟达驱动都存在一些问题,例如,可能会导致谷歌Chrome浏览器崩溃或停止响应,在游戏玩...
- 浏览器居然还能刷机?这样的神奇玩法你见过没
-
浏览器能干的事情很多,但浏览器刷机你恐怕没有听说过。在人们的通常印象当中,刷机需要专门的刷机软件,才能做到,通过浏览器刷机简直是闻所未闻。现在,骚操作真的来了,只需要通过浏览器开启一个网页,就可以完成...