Golang会话管理与Cookie使用详解

http.SetCookie 未生效的根本原因是响应头已写入，必须在 w.Write 或 w.WriteHeader 前调用；还需注意 Cookie 的 Domain、Path、Secure、SameSite 等属性配置正确，且使用 gorilla/sessions 时务必调用 session.Save(r, w)。

Go 的 http.SetCookie 为什么没生效？

常见现象是调用 http.SetCookie 后浏览器没收到 Cookie，或后续请求不携带。根本原因通常是响应头已写入（WriteHeader 或 Write 已触发），此时再调用 SetCookie 无效——HTTP 头必须在 body 发送前设置。

• 确保在任何 w.Write(...) 或显式 w.WriteHeader(...) 之前调用 http.SetCookie
• 如果用了中间件（如日志、认证），检查是否提前读取了 r.Body 或调用了 r.ParseForm() —— 这些操作本身不触发 header 写入，但若后续有 panic 或提前返回，容易误判时机
• Cookie 的 Domain 和 Path 必须匹配请求 URL；开发时 Domain 留空最安全，填了却写错（比如写了 localhost）会导致浏览器拒绝存储
• 使用 HTTPS 时，务必设 Secure: true，否则现代浏览器（Chrome/Firefox）直接丢弃该 Cookie

用 gorilla/sessions 管理会话比手写更可靠

自己基于 Cookie 存 session ID + Redis 查找用户数据，看似简单，但容易漏掉签名验证、过期清理、CSRF 防护等关键环节。gorilla/sessions 默认提供加密签名（防篡改）、自动过期（MaxAge）、HTTP-only 和 Secure 标志控制，且支持多种后端（memory、cookie-only、Redis）。

• 初始化 store 时，密钥长度至少 32 字节；用 securecookie.GenerateRandomKey(32) 生成，别硬编码字符串
• Cookie 名建议明确区分环境：session_dev / session_prod，避免本地开发污染生产 Cookie
• 调用 session.Save(r, w) 是必须的，它才真正触发 SetCookie；忘记这步，session 数据不会下发到客户端
• 若需跨子域共享会话（如 app.example.com 和 api.example.com），设置 Options.Domain = ".example.com"（注意开头的点）

Cookie 的 SameSite 属性影响登录和表单提交

Chrome 80+ 默认将 SameSite=Lax 作为 Cookie 的隐式值，导致从第三方站点跳转来的 POST 请求（如 OAuth 回调、支付网关通知）无法携带会话 Cookie，表现为“未登录”或“session not found”。

• 登录成功后设置会话 Cookie 时，显式指定 SameSite: http.SameSiteLaxMode（默认值，防 CSRF 且兼容多数场景）
• 仅当确认需要从外部站点发起带 Cookie 的请求（如嵌入式管理后台 iframe 提交），才设为 SameSite: http.SameSiteNoneMode，但此时 Secure: true 必须同时启用，否则浏览器拒绝
• 不要设 SameSite: http.SameSiteStrictMode 用于登录态，它会让用户点击站外链接返回时丢失会话，体验断裂

Session 过期与并发写入的典型坑

gorilla/sessions 的 session.Values 是 map 类型，但不是线程安全的。多个 goroutine 同时读写同一 session（比如并发 AJAX 请求更新用户偏好），可能 panic 或数据丢失。

• 对 session 值的修改，尽量集中到一次请求生命周期内完成，避免在 goroutine 中异步修改 session.Values
• 如需并发更新，自己加 sync.RWMutex 包裹读写逻辑，或改用原子操作（例如把整个结构体 JSON 序列化后存为单个 key）
• Redis 后端要注意：gorilla/redisstore 默认不开启键过期（MaxAge 只影响 Cookie，不影响 Redis TTL），需手动配置 redis.Options{MaxIdle: 10, IdleTimeout: 30 * time.Second} 并确保 Redis 实例开启 maxmemory-policy，否则会内存泄漏

func loginHandler(w http.ResponseWriter, r *http.Request) {
    session, _ := store.Get(r, "session_name")
    if r.Method == "POST" {
        // ... 验证用户名密码
        session.Values["user_id"] = 123
        session.Options.MaxAge = 3600 // 1 小时后过期
        session.Options.HttpOnly = true
        session.Options.Secure = true
        session.Options.SameSite = http.SameSiteLaxMode
        session.Save(r, w) // ⚠️ 必须调用，否则 Cookie 不下发
        return
    }
    http.Redirect(w, r, "/dashboard", http.StatusFound)
}

Session 安全性高度依赖 Cookie 配置细节，尤其是 Secure、HttpOnly、SameSite 三者的组合逻辑，一个配错就可能让整个会话机制失效或暴露风险。