首页 > 其他分享 >Go-Web-开发学习手册(全)

Go-Web-开发学习手册(全)

时间:2024-05-04 22:45:45浏览次数:25  
标签:Web http err 应用程序 手册 Go 我们 page

Go Web 开发学习手册(全)

原文:zh.annas-archive.org/md5/2756E08144D91329B3B7569E0C2831DA

译者:飞龙

协议:CC BY-NC-SA 4.0

前言

感谢您购买本书。我们希望通过本书中的示例和项目,您能从 Go Web 开发新手变成一个能够承担面向生产的严肃项目的人。因此,本书在相对较高的水平上涉及了许多 Web 开发主题。在本书结束时,您应该能够实现一个非常简单的博客,包括显示、身份验证和评论,同时关注性能和安全性。

本书涵盖内容

第一章,“介绍和设置 Go”,通过向您展示如何设置环境和依赖项,以便您可以在 Go 中创建 Web 应用程序,开启了本书。

第二章,“服务和路由”,讨论了如何生成对某些 Web 端点做出反应的响应服务器。我们将探讨 net/http 之外的各种 URL 路由选项的优点。

第三章,“连接到数据”,实现数据库连接,开始获取要在我们的网站上呈现和操作的数据。

第四章,“使用模板”,涵盖了模板包,展示了我们如何向最终用户呈现和修改正在使用的数据。

第五章,“与 RESTful API 集成的前端”,详细介绍了如何创建一个基础 API 来驱动演示和功能。

第六章,“会话和 Cookie”,与我们的最终用户保持状态,从而使他们能够在页面之间保留信息,如身份验证。

第七章,“微服务和通信”,将一些功能拆分为微服务进行重新实现。本章将作为对微服务理念的轻微介绍。

第八章,“日志和测试”,讨论了成熟的应用程序将需要测试和广泛的日志记录来调试和捕获问题,以防它们进入生产环境。

第九章,“安全性”,将专注于 Web 开发的最佳实践,并审查 Go 在这一领域为开发人员提供的内容。

第十章,“缓存、代理和性能改进”,审查了确保没有瓶颈或其他可能对性能产生负面影响的最佳选项。

您需要为本书准备的内容

Go 在跨平台兼容性方面表现出色,因此任何运行标准 Linux 版本、OS X 或 Windows 的现代计算机都足以开始。您可以在golang.org/dl/找到完整的要求列表。在本书中,我们使用至少 Go 1.5,但任何更新的版本都应该没问题。

本书适合对象

本书适用于 Go 新手开发人员,但具有构建 Web 应用程序和 API 的经验。如果您了解 HTTP 协议、RESTful 架构、通用模板和 HTML,那么您应该已经准备好接手本书中的项目了。

约定

在本书中,您会发现一些文本样式,用于区分不同类型的信息。以下是一些样式的示例及其含义解释。

文本中的代码词、数据库表名、文件夹名、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 句柄显示如下:“例如,为了尽快开始,您可以在任何喜欢的地方创建一个简单的hello.go文件,并且编译没有问题。”

代码块设置如下:

func Double(n int) int {

  if (n == 0) {
    return 0
  } else {
    return n * 2
  }
}

当我们希望引起您对代码块特定部分的注意时,相关行或项目会以粗体显示:

routes := mux.NewRouter()
  routes.HandleFunc("/page/{guid:[0-9a-zA\\-]+}", ServePage)
  routes.HandleFunc("/", RedirIndex)
  routes.HandleFunc("/home", ServeIndex)
  http.Handle("/", routes)

任何命令行输入或输出都以以下方式编写:

export PATH=$PATH:/usr/local/go/bin

新术语重要单词以粗体显示。例如,屏幕上显示的单词,例如菜单或对话框中的单词,会以这样的方式出现在文本中:“第一次点击您的 URL 和端点时,您将看到我们刚刚设置了值!,如下面的屏幕截图所示。”

注意

警告或重要提示会以这样的方式显示在框中。

提示

技巧和窍门会以这样的方式显示。

第一章:介绍和设置 Go

开始使用 Go 时,您最常听到的一句话是它是一种系统语言。

事实上,Go 团队早期对 Go 的描述之一是,该语言是为了成为一种现代系统语言而构建的。它旨在将诸如 C 之类的语言的速度和功能与诸如 Python 之类的现代解释语言的语法优雅和节俭相结合。当您查看 Go 代码的一些片段时,您可以看到这个目标得以实现。

从 Go FAQ 中关于为什么创建 Go 的原因:

"Go 是出于对现有语言和系统编程环境的不满而诞生的。"

也许当今系统编程的最大部分是设计后端服务器。显然,网络构成了其中的一个巨大但并非是唯一的部分。

直到最近,Go 还没有被认为是一种 Web 语言。毫不奇怪,开发人员花了几年时间涉足、试验,最终拥抱这种语言,开始将其引向新的领域。

虽然 Go 可以直接用于 Web,但它缺少许多人们在 Web 开发中经常视为理所当然的关键框架和工具。随着围绕 Go 的社区的增长,支架开始以许多新颖和令人兴奋的方式显现。结合现有的辅助工具,Go 现在是端到端 Web 开发的完全可行选择。但回到最初的问题:为什么选择 Go?公平地说,它并不适合每个 Web 项目,但任何可以从内置高性能、安全的 Web 服务以及美丽的并发模型的附加优势中受益的应用程序都是一个很好的选择。

在本书中,我们将探讨这些方面和其他方面,以概述 Go 是您的 Web 架构和应用程序的正确语言的原因。

我们不会涉及 Go 语言的许多低级方面。例如,我们假设您熟悉变量和常量声明。我们假设您了解控制结构。

在本章中,我们将涵盖以下主题:

  • 安装 Go

  • 项目结构

  • 导入软件包

  • 介绍 net 包

  • 你好,Web

安装 Go

当然,最关键的第一步是确保 Go 可用并准备好启动我们的第一个 Web 服务器。

注意

虽然 Go 最大的卖点之一是其跨平台支持(在本地构建和使用时针对其他操作系统),但在 Nix 兼容平台上,您的生活会变得更加轻松。

如果您使用 Windows,不要害怕。在本地,您可能会遇到不兼容的软件包、使用go run命令时的防火墙问题以及其他一些怪癖,但 Go 生态系统的 95%将对您可用。您也可以非常容易地运行虚拟机,事实上,这是模拟潜在生产环境的一个很好的方法。

golang.org/doc/install上提供了深入的安装说明,但在继续之前我们将在这里讨论一些古怪的地方。

对于 OS X 和 Windows,Go 作为二进制安装包的一部分提供。对于任何具有软件包管理器的 Linux 平台,事情可能会变得非常简单。

注意

通过常见的 Linux 软件包管理器安装:

Ubuntu:sudo apt-get golang

CentOS:sudo yum install golang

在 OS X 和 Linux 上,您需要将几行添加到您的路径中——GOPATHPATH。首先,您需要找到 Go 二进制安装的位置。这因发行版而异。找到后,您可以配置PATHGOPATH,如下所示:

export PATH=$PATH:/usr/local/go/bin
export GOPATH="/usr/share/go"

虽然要使用的路径没有严格定义,但一些惯例已经形成,即从用户的主目录下的子目录开始,例如$HOME/go~Home/go。只要这个位置被永久设置并且不改变,您就不会遇到冲突或缺少软件包的问题。

您可以通过运行go env命令来测试这些更改的影响。如果您在此方面遇到任何问题,这意味着您的目录不正确。

请注意,这可能不会阻止 Go 运行——这取决于 GOBIN 目录是否正确设置——但会阻止您在整个系统上全局安装软件包。

要测试安装,您可以通过go get命令获取任何 Go 软件包,并在某个地方创建一个 Go 文件。作为一个快速的例子,首先随机获取一个软件包,我们将使用 Gorilla 框架的一个软件包,因为我们将在本书中经常使用它。

go get github.com/gorilla/mux

如果这一切顺利进行,Go 将正确找到您的GOPATH。为了确保 Go 能够访问您下载的软件包,请编写一个非常快速的软件包,该软件包将尝试使用 Gorilla 的 mux 软件包并运行它以验证软件包是否被找到。

package main

import (
  "fmt"
  "github.com/gorilla/mux"
  "net/http"
)

func TestHandler(w http.ResponseWriter, r *http.Request) {

}

func main() {
  router := mux.NewRouter()
  router.HandleFunc("/test", TestHandler)
  http.Handle("/", router)
  fmt.Println("Everything is set up!")
}

在命令行中运行go run test.go。它不会做太多事情,但会像下面的截图所示一样传递好消息:

安装 Go

项目结构

当您刚开始并且大多数时间都在玩耍时,将应用程序设置为懒惰运行是没有问题的。

例如,为了尽快开始,您可以在任何喜欢的地方创建一个简单的hello.go文件,并且无需编译问题。

但是,当您进入需要多个或不同软件包(稍后会详细介绍)或具有更明确的跨平台要求的环境时,设计项目的方式以便利用 go 构建工具是有意义的。

以这种方式设置代码的价值在于 go 构建工具的工作方式。如果您有本地(针对您的项目)软件包,构建工具将首先查找src目录,然后查找您的GOPATH。当您为其他平台构建时,go build 将利用本地 bin 文件夹来组织二进制文件。

构建用于大规模使用的软件包时,您可能会发现在GOPATH目录下启动应用程序,然后将其符号链接到另一个目录,或者反过来,都可以让您在不需要随后获取自己的代码的情况下进行开发。

代码约定

与任何语言一样,成为 Go 社区的一部分意味着不断考虑他人创建代码的方式。特别是如果您要在开源存储库中工作,您将希望以其他人的方式生成代码,以减少其他人获取或包含您的代码时的摩擦量。

Go 团队包含的一个非常有用的工具是go fmt。这里的fmt当然是格式,这正是这个工具所做的,它会根据设计的约定自动格式化您的代码。

通过强制执行样式约定,Go 团队已经帮助减轻了许多其他语言中存在的最常见和普遍的争论之一。

虽然语言社区倾向于推动编码约定,但个人编写程序的方式总是有一些小怪癖。让我们使用一个最常见的例子——在哪里放开括号。

有些程序员喜欢将其放在与语句相同的一行上:

for (int i = 0; i < 100; i++) {
  // do something
}

而其他人则更喜欢将其放在随后的一行上:

for (int i = 0; i < 100; i++)
{
  // do something
}

这些微小的差异引发了重大的、近乎宗教性的争论。Gofmt 工具通过允许您遵循 Go 的指令来帮助缓解这一问题。

现在,Go 通过将您的代码格式化为前面讨论过的后一种样式来绕过这个明显的争议源。编译器会抱怨,您将得到一个致命错误。但其他样式选择具有一定的灵活性,这在您使用该工具进行格式化时会得到执行。

例如,这是一个在go fmt之前的 Go 代码片段:

func Double(n int) int {

  if (n == 0) {
    return 0
  } else {
    return n * 2
  }
}

任意的空白可能是团队在共享和阅读代码时的噩梦,特别是当每个团队成员使用的 IDE 不同的时候。

通过运行go fmt,我们可以清理这些内容,从而根据 Go 的约定转换我们的空白:

func Double(n int) int {
  if n == 0 {
    return 0
  } else {
    return n * 2
  }
}

长话短说:在发布或推送代码之前,始终运行go fmt

导入包

除了绝对和最琐碎的应用程序之外——即连Hello World输出都不能产生的应用程序——您必须在 Go 应用程序中导入一些包。

举个例子,要说Hello World,我们需要一种生成输出的方式。与许多其他语言不同,即使核心语言库也可以通过命名空间包访问。在 Go 中,命名空间由存储库终端点 URL 处理,即github.com/nkozyra/gotest,可以直接在 GitHub(或任何其他公共位置)上进行审查。

处理私有存储库

go get 工具可以轻松处理托管在仓库中的包,例如 GitHub、Bitbucket 和 Google Code(以及其他一些)。您还可以在其他地方托管自己的项目,理想情况下是一个 git 项目,尽管这可能会引入一些依赖和错误源,您可能希望避免。

但私有存储库呢?虽然 go get 是一个很好的工具,但如果没有一些额外的配置、SSH 代理转发等,您会发现自己面临错误。

您可以通过几种方法解决这个问题,但一个非常简单的方法是直接在本地克隆存储库,使用您的版本控制软件。

处理版本控制

当您阅读关于 Go 应用程序中命名空间的定义和导入方式时,您可能会停顿。如果您正在使用应用程序的版本 1,但想引入版本 2 会发生什么?在大多数情况下,这必须在import的路径中明确定义。例如:

import (
  "github.com/foo/foo-v1"
)

与之相对:

import (
  "github.com/foo/foo-v2"
)

正如您所想象的那样,这可能是 Go 处理远程包的一个特别棘手的方面。

与许多其他包管理器不同,go get 是去中心化的——也就是说,没有人维护包和版本的官方参考库。这有时可能会让新开发人员感到头疼。

在大多数情况下,包始终通过go get命令导入,该命令读取远程存储库的主分支。这意味着在同一终端点维护多个版本的包在大多数情况下是不可能的。

正是利用 URL 终端点作为命名空间,才实现了去中心化,但也导致了对版本控制的内部支持的缺乏。

作为开发人员,您最好将每个包视为执行go get命令时最新的版本。如果需要更新版本,您可以始终遵循作者决定的任何模式,例如前面的例子。

作为您自己包的创建者,请确保您也遵守这一理念。保持您的主分支 HEAD 最新将确保您的代码符合其他 Go 作者的约定。

介绍 net 包

在 Go 中,所有网络通信的核心是名为 net 的包,其中包含了非常相关的 HTTP 操作,以及其他 TCP/UDP 服务器、DNS 和 IP 工具的子包。

简而言之,您需要创建一个强大的服务器环境。

当然,我们关心的主要是net/http包,但我们将看一下其他一些使用该包的函数,比如 TCP 连接以及 WebSockets。

让我们快速看一下执行我们一直在谈论的 Hello World(或 Web,在这种情况下)示例。

你好,Web

以下应用程序作为位置/static的静态文件服务,并在位置/dynamic提供动态response

package main

import (
  "fmt"
  "net/http"
  "time"
)

const (
  Port = ":8080"
)

func serveDynamic(w http.ResponseWriter, r *http.Request) {
  response := "The time is now " + time.Now().String()
  fmt.Fprintln(w,response)
}

就像fmt.Println会在控制台级别产生所需的内容一样,Fprintln允许你将输出定向到任何写入器。我们将在第二章中更多地讨论写入器,服务和路由,但它们代表了一个在许多 Go 应用程序中使用的基本灵活接口,不仅仅是用于 Web:

func serveStatic(w http.ResponseWriter, r *http.Request) {
  http.ServeFile(w, r, "static.html")
}

我们的serveStatic方法只服务一个文件,但可以轻松地允许它直接服务任何文件,并使用 Go 作为一个老式的 Web 服务器,只提供静态内容:

func main() {
  http.HandleFunc("/static",serveStatic)
  http.HandleFunc("/",serveDynamic)
  http.ListenAndServe(Port,nil)
}

请随意选择可用的端口——较高的端口将更容易绕过内置的安全功能,特别是在 Nix 系统中。

如果我们采用上述示例并访问相应的 URL——在这种情况下是根目录/和静态页面/static,我们应该看到预期的输出如下所示:

在根目录/,输出如下:

Hello, Web

/static,输出如下:

Hello, Web

正如你所看到的,用 Go 为 Web 制作一个非常简单的输出是非常简单的。内置的包允许我们只用几行代码就能在 Go 中创建一个基本但非常快速的网站。

这可能并不是很令人兴奋,但在我们能够奔跑之前,我们必须先学会走路。生成上述输出引入了一些关键概念。

首先,我们看到了net/http如何使用 URI 或 URL 端点将请求定向到必须实现http.ResponseWriterhttp.Request方法的辅助函数。如果它们没有实现,我们会在那一端得到一个非常清晰的错误。

以下是一个尝试以这种方式实现的示例:

func serveError() {
  fmt.Println("There's no way I'll work!")
}

func main() {
  http.HandleFunc("/static", serveStatic)
  http.HandleFunc("/", serveDynamic)
  http.HandleFunc("/error",serveError)
  http.ListenAndServe(Port, nil)
}

以下截图显示了 Go 返回的错误:

Hello, Web

你可以看到serveError没有包括所需的参数,因此导致编译错误。

总结

本章作为 Go 的最基本概念和在 Go 中为 Web 制作的介绍,但这些要点是语言和社区中的关键基础元素,对于提高生产力至关重要。

我们已经看过编码规范和包的设计和组织,我们也制作了我们的第一个程序——司空见惯的 Hello, World 应用程序——并通过本地主机访问了它。

显然,我们离真正成熟的网络应用还有很长的路要走,但构建基础是到达目标的关键。

在第二章中,服务和路由,我们将看看如何使用 Go 的内置路由功能以及一些第三方路由器包将不同的请求定向到不同的应用逻辑。

第二章:服务和路由

作为商业实体的 Web 的基石——营销和品牌依赖的基础——是 URL。虽然我们还没有看到顶级域处理,但我们需要掌握我们的 URL 及其路径(或端点)。

在本章中,我们将通过引入多个路由和相应的处理程序来做到这一点。首先,我们将通过简单的平面文件服务来做到这一点,然后我们将引入复杂的混合物,通过实现一个利用正则表达式的路由的库来实现更灵活的路由。

在本章结束时,您应该能够在本地主机上创建一个可以通过任意数量的路径访问并返回相对于请求路径的内容的站点。

在本章中,我们将涵盖以下主题:

  • 直接提供文件

  • 基本路由

  • 使用 Gorilla 进行更复杂的路由

  • 重定向请求

  • 提供基本错误

直接提供文件

在上一章中,我们利用了fmt.Fprintln函数在浏览器中输出了一些通用的 Hello, World 消息。

这显然有限的效用。在 Web 和 Web 服务器的早期,整个 Web 都是通过将请求定向到相应的静态文件来提供的。换句话说,如果用户请求home.html,Web 服务器将查找名为home.html的文件并将其返回给用户。

今天这可能看起来有点古怪,因为现在绝大多数的 Web 都以某种动态方式提供,内容通常是通过数据库 ID 确定的,这允许页面在没有人修改单个文件的情况下生成和重新生成。

让我们看看我们可以以类似于 Web 早期的方式提供文件的最简单方法:

package main

import (
  "net/http"
)

const (
  PORT = ":8080"
)

func main() {

  http.ListenAndServe(PORT, http.FileServer(http.Dir("/var/www")))
}

相当简单,对吧?对站点发出的任何请求都将尝试在我们本地的/var/www目录中找到相应的文件。但是,虽然与第一章 介绍和设置 Go中的例子相比,这更具实际用途,但仍然相当有限。让我们看看如何扩展我们的选择。

基本路由

在第一章 介绍和设置中,我们生成了一个非常基本的 URL 端点,允许静态文件服务。

以下是我们为该示例生成的简单路由:

func main() {
  http.HandleFunc("/static",serveStatic)
  http.HandleFunc("/",serveDynamic)
  http.ListenAndServe(Port,nil)
}

回顾一下,你可以看到两个端点,/static/,它们要么提供单个静态文件,要么生成http.ResponseWriter的输出。

我们可以有任意数量的路由器并排坐着。但是,考虑这样一个情景,我们有一个基本的网站,包括关于、联系和员工页面,每个页面都驻留在/var/www/about/index.html/var/www/contact.html/var/www/staff/home.html。虽然这是一个故意晦涩的例子,但它展示了 Go 内置和未修改的路由系统的局限性。我们无法在本地将所有请求路由到同一个目录,我们需要一些提供更灵活 URL 的东西。

使用 Gorilla 进行更复杂的路由

在上一节中,我们看了基本路由,但这只能带我们走到这里,我们必须明确地定义我们的端点,然后将它们分配给处理程序。如果我们的 URL 中有通配符或变量会发生什么?这是 Web 和任何严肃的 Web 服务器的绝对必要部分。

举一个非常简单的例子,考虑托管一个博客,每篇博客文章都有唯一的标识符。这可以是代表数据库 ID 条目的数字 ID,也可以是基于文本的全局唯一标识符,比如my-first-block-entry

注意

在上面的例子中,我们希望将类似/pages/1的 URL 路由到名为1.html的文件。或者,在基于数据库的情况下,我们希望使用/pages/1/pages/hello-world来映射到具有 GUID1hello-world的数据库条目。为了做到这一点,我们要么需要包含一个可能的端点的详尽列表,这是非常浪费的,要么通过正则表达式实现通配符,这是理想的。

无论哪种情况,我们都希望能够直接在应用程序中利用 URL 中的值。这在使用GETPOST的 URL 参数时非常简单。我们可以简单地提取这些参数,但它们在干净、分层或描述性 URL 方面并不特别优雅,而这些通常是搜索引擎优化所必需的。

内置的net/http路由系统可能出于设计考虑相对简单。要从任何给定请求的值中获得更复杂的内容,我们要么需要扩展路由功能,要么使用已经完成这一点的包。

在 Go 公开可用并且社区不断发展的几年中,出现了许多 Web 框架。我们将在本书的后续部分更深入地讨论这些内容,但其中一个特别受欢迎和非常有用的是 Gorilla Web Toolkit。

正如其名称所暗示的,Gorilla 更像是一组非常有用的工具,而不是一个框架。具体来说,Gorilla 包含:

  • gorilla/context:这是一个用于从请求中创建全局可访问变量的包。它对于在整个应用程序中共享 URL 的值而不重复访问代码非常有用。

  • gorilla/rpc:这实现了 RPC-JSON,这是一种用于远程代码服务和通信的系统,而不实现特定协议。这依赖于 JSON 格式来定义任何请求的意图。

  • gorilla/schema:这是一个允许将表单变量简单打包到struct中的包,否则这是一个繁琐的过程。

  • gorilla/securecookie:毫不奇怪,这个包实现了应用程序的经过身份验证和加密的 cookie。

  • gorilla/sessions:类似于 cookie,这个包通过使用基于文件和/或基于 cookie 的会话系统提供了独特的、长期的和可重复的数据存储。

  • gorilla/mux:旨在创建灵活的路由,允许正则表达式来指示路由器可用的变量。

  • 最后一个包是我们在这里最感兴趣的包,它还带有一个相关的包叫做gorilla/reverse,它基本上允许您反转基于正则表达式的 mux 创建过程。我们将在后面的章节中详细介绍这个主题。

注意

您可以通过它们的 GitHub 位置使用go get获取单独的 Gorilla 包。例如,要获取 mux 包,只需访问github.com/gorilla/mux即可将该包带入您的GOPATH。有关其他包的位置(它们都相当自明),请访问www.gorillatoolkit.org/

让我们深入了解如何创建一个灵活的路由,并使用正则表达式将参数传递给我们的处理程序:

package main

import (
  "github.com/gorilla/mux"
  "net/http"
)

const (
  PORT = ":8080"
)

这应该看起来很熟悉,除了 Gorilla 包的导入之外:

func pageHandler(w http.ResponseWriter, r *http.Request) {
  vars := mux.Vars(r)
  pageID := vars["id"]
  fileName := "files/" + pageID + ".html"
  http.ServeFile(w,r,fileName)
}

在这里,我们创建了一个路由处理程序来接受响应。这里需要注意的是使用了mux.Vars,这是一个方法,它将从http.Request中查找查询字符串变量并将它们解析成一个映射。然后可以通过键引用结果来访问这些值,本例中是id,我们将在下一节中介绍。

func main() {
  rtr := mux.NewRouter()
  rtr.HandleFunc("/pages/{id:[0-9]+}",pageHandler)
  http.Handle("/",rtr)
  http.ListenAndServe(PORT,nil)
}

在这里,我们可以看到处理程序中的(非常基本的)正则表达式。我们将/pages/后面的任意数量的数字分配给名为id的参数,即{id:[0-9]+};这是我们在pageHandler中提取出来的值。

一个更简单的版本显示了如何用它来划分不同的页面,可以通过添加一对虚拟端点来看到:

func main() {
  rtr := mux.NewRouter()
  rtr.HandleFunc("/pages/{id:[0-9]+}", pageHandler)
  rtr.HandleFunc("/homepage", pageHandler)
  rtr.HandleFunc("/contact", pageHandler)
  http.Handle("/", rtr)
  http.ListenAndServe(PORT, nil)
}

当我们访问与此模式匹配的 URL 时,我们的pageHandler会尝试在files/子目录中找到页面并直接返回该文件。

/pages/1的响应会像这样:

使用 Gorilla 进行更复杂的路由

在这一点上,你可能已经在问,但是如果我们没有请求的页面怎么办?或者,如果我们移动了那个位置会发生什么?这引出了网络服务中的两个重要机制——返回错误响应,以及作为其中一部分,可能重定向已移动或具有其他需要向最终用户报告的有趣属性的请求。

重定向请求

在我们看简单和非常常见的错误,比如 404 之前,让我们先讨论重定向请求的想法,这是非常常见的。尽管并非总是对于普通用户来说是明显或可触及的原因。

那么我们为什么要将请求重定向到另一个请求呢?好吧,根据 HTTP 规范的定义,有很多原因可能导致我们在任何给定的请求上实现自动重定向。以下是其中一些及其相应的 HTTP 状态码:

  • 非规范地址可能需要重定向到规范地址以用于 SEO 目的或站点架构的更改。这由301 永久移动302 找到处理。

  • 在成功或不成功的POST之后重定向。这有助于防止意外重新提交相同的表单数据。通常,这由307 临时重定向定义。

  • 页面不一定丢失,但现在位于另一个位置。这由状态码301 永久移动处理。

在基本的 Go 中使用net/http执行任何一个都非常简单,但是正如你所期望的那样,使用更健壮的框架,比如 Gorilla,可以更加方便和改进。

提供基本错误

在这一点上,谈论一下错误是有些合理的。很可能,当你玩我们的基本平面文件服务服务器时,特别是当你超出两三页时,你可能已经遇到了错误。

我们的示例代码包括四个用于平面服务的示例 HTML 文件,编号为1.html2.html等等。然而,当你访问/pages/5端点时会发生什么?幸运的是,http包会自动处理文件未找到错误,就像大多数常见的网络服务器一样。

此外,与大多数常见的网络服务器类似,错误页面本身很小,单调,毫无特色。在接下来的部分中,你可以看到我们从 Go 得到的404 页面未找到状态响应:

提供基本错误

正如前面提到的,这是一个非常基本和毫无特色的页面。通常情况下,这是一件好事——错误页面包含的信息或风格超过必要的可能会产生负面影响。

考虑这个错误——404——作为一个例子。如果我们包含对同一服务器上存在的图像和样式表的引用,如果这些资产也丢失了会发生什么?

简而言之,你很快就会遇到递归错误——每个404页面都会调用一个触发404响应的图像和样式表,循环重复。即使网络服务器足够聪明以停止这一点,而且很多都是,它也会在日志中产生噩梦般的场景,使它们充满了噪音,变得毫无用处。

让我们看一些代码,我们可以用来为我们的/files目录中任何丢失的文件实现一个全局的404页面:

package main

import (
  "github.com/gorilla/mux"
  "net/http"
  "os"
)

const (
  PORT = ":8080"
)

func pageHandler(w http.ResponseWriter, r *http.Request) {
  vars := mux.Vars(r)
  pageID := vars["id"]
  fileName := "files/" + pageID + ".html"_, 
  err := os.Stat(fileName)
    if err != nil {
      fileName = "files/404.html"
    }

  http.ServeFile(w,r,fileName)
}

在这里,你可以看到我们首先尝试使用os.Stat检查文件(及其潜在错误),并输出我们自己的404响应:

func main() {
  rtr := mux.NewRouter()
  rtr.HandleFunc("/pages/{id:[0-9]+}",pageHandler)
  http.Handle("/",rtr)
  http.ListenAndServe(PORT,nil)
}

现在,如果我们看一下404.html页面,我们会发现我们创建了一个自定义的 HTML 文件,它产生的东西比我们之前调用的默认Go 页面未找到消息更加用户友好。

让我们看看这是什么样子,但请记住,它可以看起来任何你想要的样子:

<!DOCTYPE html>
<html>
<head>
<title>Page not found!</title>
<style type="text/css">
body {
  font-family: Helvetica, Arial;
  background-color: #cceeff;
  color: #333;
  text-align: center;
}
</style>
<link rel="stylesheet" type="text/css" media="screen" href="http://code.ionicframework.com/ionicons/2.0.1/css/ionicons.min.css"></link>
</head>

<body>
<h1><i class="ion-android-warning"></i> 404, Page not found!</h1>
<div>Look, we feel terrible about this, but at least we're offering a non-basic 404 page</div>
</body>

</html>

另外,请注意,虽然我们将404.html文件保存在与其他文件相同的目录中,但这仅仅是为了简单起见。

实际上,在大多数生产环境中,具有自定义错误页面,我们更希望它存在于自己的目录中,最好是在我们网站的公开可用部分之外。毕竟,现在您可以通过访问http://localhost:8080/pages/404的方式访问错误页面,这实际上并不是一个错误。这会返回错误消息,但实际情况是,在这种情况下找到了文件,我们只是返回它。

让我们通过访问http://localhost/pages/5来看一下我们新的、更漂亮的404页面,这指定了一个在我们的文件系统中不存在的静态文件:

提供基本错误

通过显示更加用户友好的错误消息,我们可以为遇到错误的用户提供更有用的操作。考虑一些其他可能受益于更具表现力的错误页面的常见错误。

总结

现在我们不仅可以从net/http包中产生基本路由,还可以使用 Gorilla 工具包产生更复杂的路由。通过利用 Gorilla,我们现在可以创建正则表达式,并实现基于模式的路由,并允许我们的路由模式更加灵活。

有了这种增加的灵活性,我们现在也必须注意错误,因此我们已经考虑了处理基于错误的重定向和消息,包括自定义的404,页面未找到消息,以产生更定制的错误消息。

现在我们已经掌握了创建端点、路由和处理程序的基础知识,我们需要开始进行一些非平凡的数据服务。

在第三章 连接到数据中,我们将开始从数据库中获取动态信息,这样我们就可以更智能、更可靠地管理数据。通过连接到一些不同的常用数据库,我们将能够构建强大、动态和可扩展的 Web 应用程序。

第三章:连接到数据

在上一章中,我们探讨了如何获取 URL 并将其转换为 Web 应用程序中的不同页面。这样做,我们构建了动态的 URL,并从我们(非常简单的)net/http处理程序中获得了动态响应。

通过从 Gorilla 工具包实现扩展的 mux 路由器,我们扩展了内置路由器的功能,允许使用正则表达式,从而使我们的应用程序具有更大的灵活性。

这是一些最流行的 Web 服务器的固有特性。例如,Apache 和 Nginx 都提供了在路由中利用正则表达式的方法,与常见解决方案保持一致应该是我们功能的最低基线。

但这只是构建具有多样功能的强大 Web 应用程序的一个重要的步骤。要进一步发展,我们需要考虑引入数据。

我们在上一章的示例中依赖于从静态文件中抓取的硬编码内容,这显然是过时的,不可扩展的。在 Web 的 CGI 早期,任何需要更新网站的人都需要重新制作静态文件,或者解释服务器端包含的过时性。

但幸运的是,Web 在 20 世纪 90 年代后期变得非常动态,数据库开始统治世界。虽然 API、微服务和 NoSQL 在某些地方取代了这种架构,但它仍然是 Web 工作的基础。

因此,话不多说,让我们获取一些动态数据。

在本章中,我们将涵盖以下主题:

  • 连接到数据库

  • 使用 GUID 创建更美观的 URL

  • 处理 404 错误

连接到数据库

在访问数据库方面,Go 的 SQL 接口提供了一种非常简单可靠的方式来连接具有驱动程序的各种数据库服务器。

在这一点上,大多数大名鼎鼎的数据库都已经涵盖了——MySQL、Postgres、SQLite、MSSQL 等等都有由 Go 提供的database/sql接口提供的维护良好的驱动程序。

Go 处理这一点的最好之处在于通过标准化的 SQL 接口,您不必学习自定义的 Go 库来与数据库交互。这并不排除需要了解数据库的 SQL 实现或其他功能的细微差别,但它确实消除了一个潜在的困惑领域。

在继续之前,您需要确保通过go get命令安装了您选择的数据库的库和驱动程序。

Go 项目维护了所有当前 SQL 驱动程序的 Wiki,这是寻找适配器的一个很好的起始参考点,网址为github.com/golang/go/wiki/SQLDrivers

注意

注意:在本书的各种示例中,我们使用 MySQL 和 Postgres,但请使用最适合您的解决方案。在任何 Nix、Windows 或 OS X 机器上安装 MySQL 和 Postgres 都相当基本。

MySQL 可以从www.mysql.com/下载,虽然 Google 列出了一些驱动程序,但我们推荐使用 Go-MySQL-Driver。虽然您也可以选择 Go 项目推荐的替代方案,但 Go-MySQL-Driver 非常干净且经过了充分测试。您可以在github.com/go-sql-driver/mysql/获取它。对于 Postgres,可以从www.postgresql.org/下载二进制文件或包管理器命令。这里选择的 Postgres 驱动是pq,可以通过go get安装,网址为github.com/lib/pq

创建 MySQL 数据库

您可以选择设计任何您想要的应用程序,但在这些示例中,我们将看一个非常简单的博客概念。

我们的目标是在数据库中尽可能少地拥有博客条目,以便能够通过 GUID 直接从数据库中调用它们,并在特定请求的博客条目不存在时显示错误。

为了做到这一点,我们将创建一个包含我们页面的 MySQL 数据库。这些页面将具有内部自动递增的数字 ID,一个文本全局唯一标识符或 GUID,以及一些关于博客条目本身的元数据。

为了简单起见,我们将创建一个标题page_title,正文文本page_content和一个 Unix 时间戳page_date。您可以随意使用 MySQL 的内置日期字段之一;使用整数字段存储时间戳只是一种偏好,并且可以允许在查询中进行一些更复杂的比较。

以下是在 MySQL 控制台(或 GUI 应用程序)中创建数据库cms和必需表pages的 SQL:

CREATE TABLE `pages` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `page_guid` varchar(256) NOT NULL DEFAULT '',
  `page_title` varchar(256) DEFAULT NULL,
  `page_content` mediumtext,
  `page_date` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  PRIMARY KEY (`id`),
  UNIQUE KEY `page_guid` (`page_guid`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=latin1;

注意

如前所述,您可以通过任意数量的接口执行此查询。要连接到 MySQL,请选择您的数据库并尝试这些查询,您可以在dev.mysql.com/doc/refman/5.7/en/connecting.html上查看命令行文档。

注意page_guid上的UNIQUE KEY。这非常重要,因为如果我们允许重复的 GUID,那么我们就有问题了。全局唯一键的概念是它不能存在于其他地方,而且由于我们将依赖它进行 URL 解析,因此我们希望确保每个 GUID 只有一个条目。

您可能已经注意到,这是一个非常基本的博客数据库内容类型。我们有一个自动递增的 ID 值,一个标题,一个日期和页面内容,没有太多其他事情发生。

虽然不多,但足以演示在 Go 中利用数据库接口动态页面。

只是为了确保pages表中有一些数据,请添加以下查询以填充一些数据:

INSERT INTO `pages` (`id`, `page_guid`, `page_title`, `page_content`, `page_date`) VALUES (NULL, 'hello-world', 'Hello, World', 'I\'m so glad you found this page!  It\'s been sitting patiently on the Internet for some time, just waiting for a visitor.', CURRENT_TIMESTAMP);

这将给我们一些开始的东西。

现在我们有了结构和一些虚拟数据,让我们看看如何连接到 MySQL,检索数据,并根据 URL 请求和 Gorilla 的 mux 模式动态提供数据。

要开始,让我们创建一个连接所需的外壳:

package main

import (
  "database/sql"
  "fmt"
  _ "github.com/go-sql-driver/mysql"
  "log"
)

我们正在导入 MySQL 驱动程序包,以实现所谓的副作用。通常情况下,这意味着该包是与另一个包相辅相成,并提供各种不需要特别引用的接口。

您可以通过下划线_语法来注意到这一点,该语法位于包的导入之前。您可能已经熟悉这种忽略方法返回值的快速而粗糙的方法。例如,x,_:= something()允许您忽略第二个返回值。

当开发人员计划使用库但尚未使用时,通常会这样使用。通过这种方式在包名前加下划线,可以使导入声明保持而不会导致编译器错误。虽然这是不被赞同的,但在前面的方法中使用下划线或空白标识符来产生副作用是相当常见且通常可接受的。

不过,这一切都取决于您使用标识符的方式和原因:

const (
  DBHost  = "127.0.0.1"
  DBPort  = ":3306"
  DBUser  = "root"
  DBPass  = "password!"
  DBDbase = "cms"
)

当然,确保用与您的安装相关的内容替换这些值:

var database *sql.DB

通过将数据库连接引用保持为全局变量,我们可以避免大量重复的代码。为了清晰起见,我们将在代码中相当高的位置定义它。没有什么可以阻止您将其变为常量,但我们将其保留为可变的,以便在必要时具有未来的灵活性,例如向单个应用程序添加多个数据库:

type Page struct {
  Title   string
  Content string
  Date    string
}

当然,这个struct与我们的数据库模式非常相似,TitleContentDate表示我们表中的非 ID 值。正如我们稍后在本章中看到的(以及在下一章中看到的),在一个设计良好的结构中描述我们的数据有助于利用 Go 的模板函数。在这一点上,请确保您的结构字段是可导出的或公共的,方法是保持它们的大小写正确。任何小写字段都不会被导出,因此在模板中不可用。我们稍后会详细讨论这一点:

func main() {
  dbConn := fmt.Sprintf("%s:%s@tcp(%s)/%s", DBUser, DBPass, DBHost, DBDbase)
  db, err := sql.Open("mysql", dbConn)
  if err != nil {
    log.Println("Couldn't connect!")
    log.Println(err.Error)
  }
  database = db
}

正如我们之前提到的,这在很大程度上是搭架子。我们在这里要做的就是确保我们能够连接到我们的数据库。如果您遇到错误,请检查您的连接以及Couldn't connect后的日志条目输出。

如果幸运的话,您能够连接到这个脚本,我们可以继续创建一个通用路由,并从我们的数据库中输出该特定请求的 GUID 的相关数据。

为此,我们需要重新实现 Gorilla,创建一个单一路由,然后实现一个处理程序,生成一些非常简单的输出,与我们在数据库中的内容相匹配。

让我们看看我们需要进行的修改和添加,以便实现这一点:

package main

import (
  "database/sql"
  "fmt"
  _ "github.com/go-sql-driver/mysql"
  "github.com/gorilla/mux"
  "log"
  "net/http"
)

这里的重大变化是我们重新引入了 Gorilla 和net/http到项目中。显然,我们需要这些来提供页面:

const (
  DBHost  = "127.0.0.1"
  DBPort  = ":3306"
  DBUser  = "root"
  DBPass  = "password!"
  DBDbase = "cms"
  PORT    = ":8080"
)

我们添加了一个PORT常量,它指的是我们的 HTTP 服务器端口。

请注意,如果您的主机是localhost/127.0.0.1,则不需要指定DBPort,但我们已经在常量部分保留了这一行。我们在 MySQL 连接中不使用主机:

var database *sql.DB

type Page struct {
  Title   string
  Content string
  Date    string
}

func ServePage(w http.ResponseWriter, r *http.Request) {
  vars := mux.Vars(r)
  pageID := vars["id"]
  thisPage := Page{}
  fmt.Println(pageID)
  err := database.QueryRow("SELECT page_title,page_content,page_date FROM pages WHERE id=?", pageID).Scan(&thisPage.Title, &thisPage.Content, &thisPage.Date)
  if err != nil {

    log.Println("Couldn't get page: +pageID")
    log.Println(err.Error)
  }
  html := `<html><head><title>` + thisPage.Title + `</title></head><body><h1>` + thisPage.Title + `</h1><div>` + thisPage.Content + `</div></body></html>`
  fmt.Fprintln(w, html)
}

ServePage是一个函数,它从mux.Vars中获取一个id并查询我们的数据库以获取博客条目的 ID。我们在查询方式上有一些微妙之处值得注意;消除 SQL 注入漏洞的最简单方法是使用预处理语句,比如QueryQueryRowPrepare。利用其中任何一个,并包含一个可变的要注入到预处理语句中的变量,可以消除手工构建查询的固有风险。

Scan方法然后获取查询结果并将其转换为一个结构体;您需要确保结构体与查询中请求字段的顺序和数量匹配。在这种情况下,我们将page_titlepage_contentpage_date映射到Page结构体的TitleContentDate

func main() {
  dbConn := fmt.Sprintf("%s:%s@/%s", DBUser, DBPass, DBDbase)
  fmt.Println(dbConn)
  db, err := sql.Open("mysql", dbConn)
  if err != nil {
    log.Println("Couldn't connect to"+DBDbase)
    log.Println(err.Error)
  }
  database = db

  routes := mux.NewRouter()
  routes.HandleFunc("/page/{id:[0-9]+}", ServePage)
  http.Handle("/", routes)
  http.ListenAndServe(PORT, nil)

}

请注意我们的正则表达式:它只是数字,由一个或多个数字组成,这些数字将成为我们处理程序中可访问的id变量。

还记得我们谈到使用内置的 GUID 吗?我们马上就会谈到这个,但现在让我们看一下local host:8080/page/1的输出:

创建 MySQL 数据库

在前面的示例中,我们可以看到我们在数据库中的博客条目。这很好,但显然在很多方面还是不够的。

使用 GUID 创建更美观的 URL

在本章的前面,我们谈到使用 GUID 作为所有请求的 URL 标识符。相反,我们首先让步于数字,因此自动递增表中的列。这是为了简单起见,但将其切换为字母数字 GUID 是微不足道的。

我们需要做的就是切换我们的正则表达式,并在我们的ServePage处理程序中更改我们的 SQL 查询结果。

如果我们只改变我们的正则表达式,我们上一个 URL 的页面仍然可以工作:

routes.HandleFunc("/page/{id:[0-9a-zA\\-]+}", ServePage)

当然,页面仍然会通过我们的处理程序。为了消除任何歧义,让我们为路由分配一个guid变量:

routes.HandleFunc("/page/{guid:[0-9a-zA\\-]+}", ServePage)

在那之后,我们改变了我们的调用和 SQL:

func ServePage(w http.ResponseWriter, r *http.Request) {
  vars := mux.Vars(r)
  pageGUID := vars["guid"]
  thisPage := Page{}
  fmt.Println(pageGUID)
  err := database.QueryRow("SELECT page_title,page_content,page_date FROM pages WHERE page_guid=?", pageGUID).Scan(&thisPage.Title, &thisPage.Content, &thisPage.Date)

在这样做之后,通过/pages/hello-world URL 访问我们的页面将导致与通过/pages/1访问它时得到的相同页面内容。唯一的真正优势是外观上更美观,它创建了一个更易读的 URL,对搜索引擎可能更有用:

使用 GUID 创建更美观的 URL

处理 404s

我们前面的代码中一个非常明显的问题是,它没有处理请求无效 ID(或 GUID)的情况。

目前,对/page/999的请求将只会导致用户看到一个空白页面,而在后台会显示无法获取页面!的消息,如下面的屏幕截图所示:

处理 404

通过传递适当的错误来解决这个问题是非常简单的。在上一章中,我们探讨了自定义的404页面,您当然可以在这里实现其中一个,但最简单的方法是当找不到帖子时只返回一个 HTTP 状态代码,并允许浏览器处理呈现。

在我们之前的代码中,我们有一个错误处理程序,除了将问题返回到我们的日志文件之外,没有做太多事情。让我们把它变得更具体:

  err := database.QueryRow("SELECT page_title,page_content,page_date FROM pages WHERE page_guid=?", pageGUID).Scan(&thisPage.Title, &thisPage.Content, &thisPage.Date)
  if err != nil {
    http.Error(w, http.StatusText(404), http.StatusNotFound)
    log.Println("Couldn't get page!")
  }

您将在以下屏幕截图中看到输出。再次强调,将这个页面替换为自定义的404页面是微不足道的,但现在我们要确保通过校验它们来处理无效的请求:

处理 404

提供良好的错误消息有助于提高开发人员和其他用户的可用性。此外,对于 SEO 也有好处,因此使用 HTTP 标准中定义的 HTTP 状态代码是有意义的。

摘要

在本章中,我们已经从简单地显示内容转向了以可持续和可维护的方式使用数据库维护内容。虽然这使我们能够轻松显示动态数据,但这只是实现完全功能的应用程序的核心步骤。

我们已经学习了如何创建数据库,然后从中检索数据并将其注入到路由中,同时保持我们的查询参数经过清理,以防止 SQL 注入。

我们还考虑了潜在的坏请求,比如无效的 GUID,对于任何在我们的数据库中不存在的请求的 GUID,我们返回404 Not Found状态。我们还查看了通过 ID 和字母数字 GUID 请求数据。

然而,这只是我们应用程序的开始。

在第四章中,使用模板,我们将使用从 MySQL(和 Postgres)中获取的数据,并应用一些 Go 模板语言,以便在前端上更灵活地使用它们。

到了那一章的结束,我们将拥有一个允许直接从我们的应用程序创建和删除页面的应用程序。

第四章:使用模板

在第二章中,服务和路由,我们探讨了如何将 URL 转换为网络应用程序中的不同页面。这样做的结果是,我们构建了动态的 URL,并从我们(非常简单的)net/http处理程序中获得了动态响应。

我们将我们的数据呈现为真实的 HTML,但我们将我们的 HTML 直接硬编码到我们的 Go 源代码中。这对于生产级环境来说并不理想,原因有很多。

幸运的是,Go 配备了一个强大但有时棘手的模板引擎,用于文本模板和 HTML 模板。

与许多其他模板语言不同,这些语言将逻辑排除在演示方面,Go 的模板包使您能够在模板中使用一些逻辑结构,例如循环、变量和函数声明。这使您能够将一些逻辑偏移至模板,这意味着您可以编写应用程序,但需要允许模板方面为产品提供一些可扩展性,而无需重写源代码。

我们说一些逻辑结构,因为 Go 模板被称为无逻辑。我们将在稍后讨论这个话题。

在本章中,我们将探讨不仅呈现数据的方式,还将探索本章中的一些更高级的可能性。最后,我们将能够将我们的模板转化为推进演示和源代码分离的方式。

我们将涵盖以下主题:

  • 介绍模板、上下文和可见性

  • HTML 模板和文本模板

  • 显示变量和安全性

  • 使用逻辑和控制结构

介绍模板、上下文和可见性

很值得注意的是,虽然我们正在讨论将 HTML 部分从源代码中提取出来,但是在 Go 应用程序中使用模板是可能的。事实上,像这样声明模板是没有问题的:

tpl, err := template.New("mine").Parse(`<h1>{{.Title}}</h1>`)

然而,如果我们这样做,每次模板需要更改时,我们都需要重新启动应用程序。如果我们使用基于文件的模板,就不必这样做;相反,我们可以在不重新启动的情况下对演示(和一些逻辑)进行更改。

从应用程序内的 HTML 字符串转移到基于文件的模板的第一件事是创建一个模板文件。让我们简要地看一下一个示例模板,它在某种程度上接近我们在本章后面将得到的结果:

<!DOCTYPE html>
<html>
<head>
<title>{{.Title}}</title>
</head>
<body>
  <h1>{{.Title}}</h1>

  <div>{{.Date}}</div>

  {{.Content}}
</body>
</html>

非常简单,对吧?变量通过双大括号内的名称清楚地表示。那么所有的句号/点是怎么回事?与其他一些类似风格的模板系统(如 Mustache、Angular 等)一样,句号表示范围或上下文。

最容易演示这一点的地方是变量可能重叠的地方。想象一下,我们有一个标题为博客条目的页面,然后我们列出所有已发布的博客文章。我们有一个页面标题,但我们也有单独的条目标题。我们的模板可能看起来类似于这样:

{{.Title}}
{{range .Blogs}}
  <li><a href="{{.Link}}">{{.Title}}</a></li>
{{end}}

这里的点指定了特定的范围,这种情况下是通过 range 模板操作符语法进行循环。这允许模板解析器正确地使用{{.Title}}作为博客的标题,而不是页面的标题。

这一切都值得注意,因为我们将创建的第一个模板将利用通用范围变量,这些变量以点表示。

HTML 模板和文本模板

在我们第一个示例中,我们将从数据库中将博客的值显示到网络上,我们生成了一个硬编码的 HTML 字符串,并直接注入了我们的值。

以下是我们在第三章中使用的两行:

  html := `<html><head><title>` + thisPage.Title + `</title></head><body><h1>` + thisPage.Title + `</h1><div>` + thisPage.Content + `</div></body></html>
  fmt.Fprintln(w, html)

这不难理解为什么这不是一个可持续的系统,用于将我们的内容输出到网络上。最好的方法是将其转换为模板,这样我们就可以将演示与应用程序分开。

为了尽可能简洁地做到这一点,让我们修改调用前面代码的方法ServePage,使用模板而不是硬编码的 HTML。

所以我们将删除之前放置的 HTML,而是引用一个文件,该文件将封装我们想要显示的内容。从你的根目录开始,创建一个templates子目录,并在其中创建一个blog.html

以下是我们包含的非常基本的 HTML,随意添加一些花样:

<html>
<head>
<title>{{.Title}}</title>
</head>
<body>
  <h1>{{.Title}}</h1>
  <p>
    {{.Content}}
  </p>
  <div>{{.Date}}</div>
</body>
</html>

回到我们的应用程序,在ServePage处理程序中,我们将稍微改变我们的输出代码,不再留下显式的字符串,而是解析和执行我们刚刚创建的 HTML 模板:

func ServePage(w http.ResponseWriter, r *http.Request) {
  vars := mux.Vars(r)
  pageGUID := vars["guid"]
  thisPage := Page{}
  fmt.Println(pageGUID)
  err := database.QueryRow("SELECT page_title,page_content,page_date FROM pages WHERE page_guid=?", pageGUID).Scan(&thisPage.Title, &thisPage.Content, &thisPage.Date)
  if err != nil {
    http.Error(w, http.StatusText(404), http.StatusNotFound)
    log.Println("Couldn't get page!")
    return
  }
  // html := <html>...</html>

  t, _ := template.ParseFiles("templates/blog.html")
  t.Execute(w, thisPage)
}

如果你以某种方式未能创建文件或者文件无法访问,应用程序在尝试执行时将会发生 panic。如果你引用了不存在的struct值,也会发生 panic——我们需要更好地处理错误。

注意

注意:不要忘记在你的导入中包含html/template

远离静态字符串的好处是显而易见的,但现在我们已经为一个更具扩展性的呈现层奠定了基础。

如果我们访问http://localhost:9500/page/hello-world,我们将看到类似于这样的东西:

HTML 模板和文本模板

显示变量和安全性

为了演示这一点,让我们通过在 MySQL 命令行中添加这个 SQL 命令来创建一个新的博客条目:

INSERT INTO `pages` (`id`, `page_guid`, `page_title`, page_content`, `page_date`)

值:

  (2, 'a-new-blog', 'A New Blog', 'I hope you enjoyed the last blog!  Well brace yourself, because my latest blog is even <i>better</i> than the last!', '2015-04-29 02:16:19');

另一个令人兴奋的内容,当然。但是请注意,当我们尝试给单词 better 加上斜体时,我们在其中嵌入了一些 HTML。

不管如何存储格式的争论,这使我们能够查看 Go 的模板如何默认处理这个问题。如果我们访问http://localhost:9500/page/a-new-blog,我们将看到类似于这样的东西:

显示变量和安全性

正如你所看到的,Go 会自动为我们的输出数据进行消毒。有很多非常非常明智的原因来做这个,这就是为什么这是默认行为的最大原因。当然,最大的原因是为了避免来自不受信任的输入源(例如网站的一般用户等)的 XSS 和代码注入攻击向量。

但表面上,我们正在创建这个内容,应该被视为受信任的。因此,为了将其验证为受信任的 HTML,我们需要改变template.HTML的类型:

type Page struct {
  Title   string
  Content template.HTML
  Date   string
}

如果你尝试将生成的 SQL 字符串值简单地扫描到template.HTML中,你会发现以下错误:

sql: Scan error on column index 1: unsupported driver -> Scan pair: []uint8 -> *template.HTML

解决这个问题的最简单方法是保留RawContent中的字符串值,并将其重新分配给Content

type Page struct {
  Title    string
  RawContent string
  Content    template.HTML
  Date    string
}
  err := database.QueryRow("SELECT page_title,page_content,page_date FROM pages WHERE page_guid=?", pageGUID).Scan(&thisPage.Title, &thisPage.RawContent, &thisPage.Date)
  thisPage.Content = template.HTML(thisPage.RawContent)

如果我们再次go run,我们将看到我们的 HTML 是受信任的:

显示变量和安全性

使用逻辑和控制结构

在本章的前面,我们看到了如何在我们的模板中使用范围,就像我们直接在我们的代码中使用一样。看一下下面的代码:

{{range .Blogs}}
  <li><a href="{{.Link}}">{{.Title}}</a></li>
{{end}}

你可能还记得我们说过,Go 的模板没有任何逻辑,但这取决于你如何定义逻辑,以及共享逻辑是否完全存在于应用程序、模板中,还是两者都有一点。这是一个小问题,但因为 Go 的模板提供了很大的灵活性,所以这是值得思考的一个问题。

在前面的模板中具有一个范围功能,本身就为我们的博客的新呈现打开了很多可能性。现在我们可以显示博客列表,或者将我们的博客分成段落,并允许每个段落作为一个单独的实体存在。这可以用来允许评论和段落之间的关系,这在最近的一些出版系统中已经开始成为一个功能。

但现在,让我们利用这个机会在一个新的索引页面中创建一个博客列表。为此,我们需要添加一个路由。由于我们有/page,我们可以选择/pages,但由于这将是一个索引,让我们选择//home

  routes := mux.NewRouter()
  routes.HandleFunc("/page/{guid:[0-9a-zA\\-]+}", ServePage)
  routes.HandleFunc("/", RedirIndex)
  routes.HandleFunc("/home", ServeIndex)
  http.Handle("/", routes)

我们将使用RedirIndex自动重定向到我们的/home端点作为规范的主页。

在我们的方法中提供简单的301永久移动重定向需要非常少的代码,如下所示:

func RedirIndex(w http.ResponseWriter, r *http.Request) {
  http.Redirect(w, r, "/home", 301)
}

这足以接受来自/的任何请求,并自动将用户带到/home。现在,让我们看看如何在ServeIndexHTTP 处理程序中循环遍历我们的博客在我们的索引页面上:

func ServeIndex(w http.ResponseWriter, r *http.Request) {
  var Pages = []Page{}
  pages, err := database.Query("SELECT page_title,page_content,page_date FROM pages ORDER BY ? DESC", "page_date")
  if err != nil {
    fmt.Fprintln(w, err.Error)
  }
  defer pages.Close()
  for pages.Next() {
    thisPage := Page{}
    pages.Scan(&thisPage.Title, &thisPage.RawContent, &thisPage.Date)
    thisPage.Content = template.HTML(thisPage.RawContent)
    Pages = append(Pages, thisPage)
  }
  t, _ := template.ParseFiles("templates/index.html")
  t.Execute(w, Pages)
}

这是templates/index.html

<h1>Homepage</h1>

{{range .}}
  <div><a href="!">{{.Title}}</a></div>
  <div>{{.Content}}</div>
  <div>{{.Date}}</div>
{{end}}

使用逻辑和控制结构

在这里我们突出了Page struct的一个问题——我们无法获取页面的GUID引用。因此,我们需要修改我们的struct以包括可导出的Page.GUID变量:

type Page struct {
  Title  string
  Content  template.HTML
  RawContent  string
  Date  string
  GUID   string
}

现在,我们可以将我们索引页面上的列表链接到它们各自的博客条目,如下所示:

  var Pages = []Page{}
  pages, err := database.Query("SELECT page_title,page_content,page_date,page_guid FROM pages ORDER BY ? DESC", "page_date")
  if err != nil {
    fmt.Fprintln(w, err.Error)
  }
  defer pages.Close()
  for pages.Next() {
    thisPage := Page{}
    pages.Scan(&thisPage.Title, &thisPage.Content, &thisPage.Date, &thisPage.GUID)
    Pages = append(Pages, thisPage)
  }

我们可以使用以下代码更新我们的 HTML 部分:

<h1>Homepage</h1>

{{range .}}
  <div><a href="/page/{{.GUID}}">{{.Title}}</a></div>
  <div>{{.Content}}</div>
  <div>{{.Date}}</div>
{{end}}

但这只是模板强大功能的开始。如果我们有一个更长的内容,并且想要截断它的描述呢?

我们可以在Page struct中创建一个新字段并对其进行截断。但这有点笨拙;它要求该字段始终存在于struct中,无论是否填充了数据。将方法暴露给模板本身要高效得多。

所以让我们这样做。

首先,创建另一个博客条目,这次内容值更大。选择任何你喜欢的内容,或者按照所示选择INSERT命令:

INSERT INTO `pages` (`id`, `page_guid`, `page_title`, `page_content`, `page_date`)

值:

  (3, 'lorem-ipsum', 'Lorem Ipsum', 'Lorem ipsum dolor sit amet, consectetur adipiscing elit. Maecenas sem tortor, lobortis in posuere sit amet, ornare non eros. Pellentesque vel lorem sed nisl dapibus fringilla. In pretium...', '2015-05-06 04:09:45');

注意

注意:为了简洁起见,我们已经截断了我们之前的 Lorem Ipsum 文本的完整长度。

现在,我们需要将我们的截断表示为Page类型的方法。让我们创建该方法,以返回表示缩短文本的字符串。

这里的酷之处在于,我们可以在应用程序和模板之间共享方法:

func (p Page) TruncatedText() string {
  chars := 0
  for i, _ := range p.Content {
    chars++
    if chars > 150 {
      return p.Content[:i] + ` ...`
    }
  }
  return p.Content
}

这段代码将循环遍历内容的长度,如果字符数超过150,它将返回索引中的切片直到该数字。如果它从未超过该数字,TruncatedText将返回整个内容。

在模板中调用这个方法很简单,只是你可能期望需要传统的函数语法调用,比如TruncatedText()。相反,它被引用为作用域内的任何变量一样:

<h1>Homepage</h1>

{{range .}}
  <div><a href="/page/{{.GUID}}">{{.Title}}</a></div>
  <div>{{.TruncatedText}}</div>
  <div>{{.Date}}</div>
{{end}}

通过调用.TruncatedText,我们本质上通过该方法内联处理值。结果页面反映了我们现有的博客,而不是截断的博客,以及我们新的博客条目,其中包含截断的文本和省略号:

使用逻辑和控制结构

我相信你可以想象在模板中直接引用嵌入方法将打开一系列的演示可能性。

总结

我们只是初步了解了 Go 模板的功能,随着我们的继续探索,我们将进一步探讨更多的主题,但是这一章节已经介绍了开始直接利用模板所需的核心概念。

我们已经研究了简单的变量,以及在应用程序中实现方法,在模板本身中实现方法。我们还探讨了如何绕过受信任内容的注入保护。

在下一章中,我们将集成后端 API,以 RESTful 方式访问信息以读取和操作底层数据。这将允许我们在模板上使用 Ajax 做一些更有趣和动态的事情。

第五章:RESTful API 与前端集成

在第二章服务和路由中,我们探讨了如何将 URL 路由到我们 Web 应用程序中的不同页面。在这样做时,我们构建了动态的 URL,并从我们(非常简单的)net/http处理程序中获得了动态响应。

我们刚刚触及了 Go 模板的一小部分功能,随着我们的继续,我们还将探索更多主题,但在本章中,我们试图介绍直接开始使用模板所必需的核心概念。

我们已经研究了简单的变量以及在应用程序中使用模板本身实现的方法。我们还探讨了如何绕过对受信任内容的注入保护。

网站开发的呈现方面很重要,但也是最不根深蒂固的方面。几乎任何框架都会呈现其内置的 Go 模板和路由语法的扩展。真正将我们的应用程序提升到下一个水平的是构建和集成 API,用于通用数据访问,以及允许我们的呈现层更具动态驱动性。

在本章中,我们将开发一个后端 API,以 RESTful 方式访问信息,并读取和操作我们的基础数据。这将允许我们在模板中使用 Ajax 做一些更有趣和动态的事情。

在本章中,我们将涵盖以下主题:

  • 设置基本的 API 端点

  • RESTful 架构和最佳实践

  • 创建我们的第一个 API 端点

  • 实施安全性

  • 使用 POST 创建数据

  • 使用 PUT 修改数据

设置基本的 API 端点

首先,我们将为页面和单独的博客条目设置一个基本的 API 端点。

我们将为GET请求创建一个 Gorilla 端点路由,该请求将返回有关我们页面的信息,还有一个接受 GUID 的请求,GUID 匹配字母数字字符和连字符:

routes := mux.NewRouter()
routes.HandleFunc("/api/pages", APIPage).
  Methods("GET").
  Schemes("https")
routes.HandleFunc("/api/pages/{guid:[0-9a-zA\\-]+}", APIPage).
  Methods("GET").
  Schemes("https")
routes.HandleFunc("/page/{guid:[0-9a-zA\\-]+}", ServePage)
http.Handle("/", routes)
http.ListenAndServe(PORT, nil)

请注意,我们再次捕获了 GUID,这次是为我们的/api/pages/*端点,它将反映网页端点的功能,返回与单个页面相关的所有元数据。

func APIPage(w http.ResponseWriter, r *http.Request) {
vars := mux.Vars(r)
pageGUID := vars["guid"]
thisPage := Page{}
fmt.Println(pageGUID)
err := database.QueryRow("SELECT page_title,page_content,page_date FROM pages WHERE page_guid=?", pageGUID).Scan(&thisPage.Title, &thisPage.RawContent, &thisPage.Date)
thisPage.Content = template.HTML(thisPage.RawContent)
if err != nil {
  http.Error(w, http.StatusText(404), http.StatusNotFound)
  log.Println(err)
  return
}
APIOutput, err := json.Marshal(thisPage)
    fmt.Println(APIOutput)
if err != nil {
  http.Error(w, err.Error(), http.StatusInternalServerError)
  return
}
w.Header().Set("Content-Type", "application/json")
fmt.Fprintln(w, thisPage)
}

前面的代码代表了最简单的基于 GET 的请求,它从我们的/pages端点返回单个记录。现在让我们来看看 REST,看看我们将如何构建和实现其他动词和数据操作。

RESTful 架构和最佳实践

在 Web API 设计领域,已经有一系列迭代的,有时是竞争的努力,以找到跨多个环境传递信息的标准系统和格式。

近年来,网站开发社区似乎已经—至少是暂时地—将 REST 作为事实上的方法。REST 在几年 SOAP 的主导之后出现,并引入了一种更简单的数据共享方法。

REST API 不受格式限制,通常可以缓存并通过 HTTP 或 HTTPS 传递。

开始时最重要的是遵守 HTTP 动词;最初为 Web 指定的那些动词在其原始意图上受到尊重。例如,HTTP 动词,如DELETEPATCH,尽管非常明确地说明了它们的目的,但在多年的不使用后,REST 已成为使用正确方法的主要推动力。在 REST 之前,很常见看到GETPOST请求被互换使用来做各种事情,而这些事情本来是内置在 HTTP 设计中的。

在 REST 中,我们遵循创建-读取-更新-删除(CRUD)的方法来检索或修改数据。POST主要用于创建,PUT用于更新(尽管它也可以用于创建),熟悉的GET用于读取,DELETE用于删除,就是这样。

也许更重要的是,一个符合 RESTful 的 API 应该是无状态的。我们的意思是每个请求应该独立存在,而服务器不一定需要了解先前或潜在的未来请求。这意味着会话的概念在技术上违反了这一原则,因为我们会在服务器上存储某种状态。有些人持不同意见;我们将在以后详细讨论这个问题。

最后一点是关于 API URL 结构,因为方法已经作为请求的一部分嵌入到头部中,所以我们不需要在请求中明确表达它。

换句话说,我们不需要像/api/blogs/delete/1这样的东西。相反,我们可以简单地使用DELETE方法向api/blogs/1发出请求。

URL 结构没有严格的格式,您可能很快就会发现一些操作缺乏合理的 HTTP 动词,但简而言之,我们应该追求一些目标:

  • 资源在 URL 中清晰表达

  • 我们正确地利用 HTTP 动词

  • 我们根据请求的类型返回适当的响应

我们在本章的目标是用我们的 API 实现前面三点。

如果有第四点,它会说我们与我们的 API 保持向后兼容。当您检查这里的 URL 结构时,您可能会想知道版本是如何处理的。这往往因组织而异,但一个很好的政策是保持最近的 URL 规范,并废弃显式版本的 URL。

例如,即使我们的评论可以在/api/comments中访问,但旧版本将在/api/v2.0/comments中找到,其中2显然代表我们的 API,就像它在版本2.0中存在一样。

注意

尽管在本质上相对简单且定义明确,REST 是一个常常争论的主题,有足够的模糊性,往往会引发很多辩论。请记住,REST 不是一个标准;例如,W3C 从未并且可能永远不会对 REST 是什么以及不是什么发表意见。如果您还没有,您将开始对什么是真正符合 REST 的内容产生一些非常强烈的看法。

创建我们的第一个 API 端点

鉴于我们希望从客户端和服务器之间访问数据,我们需要开始通过 API 公开其中的一些数据。

对我们来说最合理的事情是简单地读取,因为我们还没有方法在直接的 SQL 查询之外创建数据。我们在本章的开头就用我们的APIPage方法做到了这一点,通过/api/pages/{UUID}端点路由。

这对于GET请求非常有用,因为我们不会操纵数据,但是如果我们需要创建或修改数据,我们需要利用其他 HTTP 动词和 REST 方法。为了有效地做到这一点,现在是时候在我们的 API 中调查一些身份验证和安全性了。

实施安全性

当您考虑使用我们刚刚设计的 API 创建数据时,您首先会考虑什么问题?如果是安全性,那就太好了。访问数据并不总是没有安全风险,但当我们允许修改数据时,我们需要真正开始考虑安全性。

在我们的情况下,读取数据是完全无害的。如果有人可以通过GET请求访问我们所有的博客条目,那又有什么关系呢?好吧,我们可能有一篇关于禁运的博客,或者意外地在某些资源上暴露了敏感数据。

无论如何,安全性始终应该是一个关注点,即使是像我们正在构建的博客平台这样的小型个人项目。

有两种分离这些问题的方法:

  • 我们的 API 请求是否安全且私密?

  • 我们是否在控制对数据的访问?

让我们先解决第 2 步。如果我们想允许用户创建或删除信息,我们需要为他们提供对此的特定访问权限。

有几种方法可以做到这一点:

我们可以提供 API 令牌,允许短暂的请求窗口,这可以通过共享密钥进行验证。这是 Oauth 的本质;它依赖于共享密钥来验证加密编码的请求。没有共享密钥,请求及其令牌将永远不匹配,然后 API 请求可以被拒绝。

cond方法是一个简单的 API 密钥,这将我们带回到上述列表中的第 1 点。

如果我们允许明文 API 密钥,那么我们可能根本不需要安全性。如果我们的请求可以轻松地从线路上被嗅探到,那么甚至要求 API 密钥也没有多大意义。

这意味着无论我们选择哪种方法,我们的服务器都应该通过 HTTPS 提供 API。幸运的是,Go 提供了一种非常简单的方式来利用 HTTP 或 HTTPS 通过传输层安全性TLS);TLS 是 SSL 的后继者。作为 Web 开发人员,您必须已经熟悉 SSL,并且也意识到其安全问题的历史,最近是其易受 POODLE 漏洞攻击的问题,该漏洞于 2014 年曝光。

为了允许任一方法,我们需要有一个用户注册模型,这样我们就可以有新用户,他们可以有某种凭据来修改数据。为了调用 TLS 服务器,我们需要一个安全证书。由于这是一个用于实验的小项目,我们不会太担心具有高度信任级别的真实证书。相反,我们将自己生成。

创建自签名证书因操作系统而异,超出了本书的范围,因此让我们只看看 OS X 的方法。

自签名证书显然没有太多的安全价值,但它允许我们在不需要花费金钱或时间验证服务器所有权的情况下测试事物。对于任何希望被认真对待的证书,您显然需要做这些事情。

要在 OS X 中快速创建一组证书,请转到终端并输入以下三个命令:

openssl genrsa -out key.pem
openssl req -new -key key.pem -out cert.pem
openssl req -x509 -days 365 -key key.pem -in cert.pem -out certificate.pem

在这个例子中,我使用 Ubuntu 上的 OpenSSL 生成了证书。

注意

注意:OpenSSL 预装在 OS X 和大多数 Linux 发行版上。如果您使用后者,请在寻找特定于 Linux 的说明之前尝试上述命令。如果您使用 Windows,特别是较新版本,如 8,您可以以多种方式执行此操作,但最可访问的方式可能是通过 MSDN 提供的 MakeCert 工具。

阅读有关 MakeCert 的更多信息msdn.microsoft.com/en-us/library/bfsktky3%28v=vs.110%29.aspx

一旦您拥有证书文件,请将它们放在文件系统中的某个位置,而不要放在您可以访问的应用程序目录/目录中。

要从 HTTP 切换到 TLS,我们可以使用对这些证书文件的引用;除此之外,在我们的代码中基本上是相同的。让我们首先将证书添加到我们的代码中。

注意

注意:再次,您可以选择在同一服务器应用程序中维护 HTTP 和 TLS/HTTPS 请求,但我们将全面切换。

早些时候,我们通过监听以下行来启动我们的服务器:

http.ListenAndServe(PORT, nil)

现在,我们需要稍微扩展一下。首先,让我们加载我们的证书:

  certificates, err := tls.LoadX509KeyPair("cert.pem", "key.pem")
  tlsConf := tls.Config{Certificates: []tls.Certificate{certificates}}
  tls.Listen("tcp", PORT, &tlsConf)

注意

注意:如果您发现您的服务器似乎没有错误地运行,但无法保持运行;您的证书可能存在问题。尝试再次运行上述生成代码,并使用新证书进行操作。

使用 POST 创建数据

现在我们已经有了一个安全证书,我们可以为我们的 API 调用切换到 TLS,包括GET和其他请求。让我们现在这样做。请注意,您可以保留 HTTP 用于我们其余的端点,或者在这一点上也将它们切换。

注意

注意:现在大多数人普遍采用仅使用 HTTPS 的方式,这可能是未来保护您的应用程序的最佳方式。这不仅适用于 API 或者明文发送显式和敏感信息的地方,隐私是首要考虑的;主要提供商和服务都在强调随处使用 HTTPS 的价值。

让我们在我们的博客上添加一个匿名评论的简单部分:

<div id="comments">
  <form action="/api/comments" method="POST">
    <input type="hidden" name="guid" value="{{Guid}}" />
    <div>
      <input type="text" name="name" placeholder="Your Name" />
    </div>
    <div>
      <input type="email" name="email" placeholder="Your Email" />
    </div>
    <div>
      <textarea name="comments" placeholder="Your Com-ments"></textarea>
    </div>
    <div>
      <input type="submit" value="Add Comments" />
    </div>
  </form>
</div>

这将允许任何用户在我们的网站上对我们的任何博客项目添加匿名评论,如下截图所示:

使用 POST 创建数据

但是安全性呢?目前,我们只想创建一个开放的评论区,任何人都可以在其中发布他们的有效、明晰的想法,以及他们的垃圾药方交易。我们稍后会担心锁定这一点;目前我们只想演示 API 和前端集成的并行。

显然,我们的数据库中需要一个comments表,所以在实现任何 API 之前,请确保创建该表。

CREATE TABLE `comments` (
`id` int(11) unsigned NOT NULL AUTO_INCREMENT,
`page_id` int(11) NOT NULL,
`comment_guid` varchar(256) DEFAULT NULL,
`comment_name` varchar(64) DEFAULT NULL,
`comment_email` varchar(128) DEFAULT NULL,
`comment_text` mediumtext,
`comment_date` timestamp NULL DEFAULT NULL,
PRIMARY KEY (`id`),
KEY `page_id` (`page_id`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

有了表格,让我们把表单POST到 API 端点。为了创建一个通用和灵活的 JSON 响应,你可以添加一个JSONResponse struct,它基本上是一个哈希映射,如下所示:

type JSONResponse struct {
  Fields map[string]string
}

然后我们需要一个 API 端点来创建评论,所以让我们在main()的路由下添加它:

func APICommentPost(w http.ResponseWriter, r *http.Request) {
  var commentAdded bool
  err := r.ParseForm()
  if err != nil {
    log.Println(err.Error)
  }
  name := r.FormValue("name")
  email := r.FormValue("email")
  comments := r.FormValue("comments")

  res, err := database.Exec("INSERT INTO comments SET comment_name=?, comment_email=?, comment_text=?", name, email, comments)

  if err != nil {
    log.Println(err.Error)
  }

  id, err := res.LastInsertId()
  if err != nil {
    commentAdded = false
  } else {
    commentAdded = true
  }
  commentAddedBool := strconv.FormatBool(commentAdded)
  var resp JSONResponse
  resp.Fields["id"] = string(id)
  resp.Fields["added"] =  commentAddedBool
  jsonResp, _ := json.Marshal(resp)
  w.Header().Set("Content-Type", "application/json")
  fmt.Fprintln(w, jsonResp)
}

关于前面的代码有一些有趣的事情:

首先,注意我们使用commentAdded作为string而不是bool。我们这样做主要是因为 json marshaller 不能优雅地处理布尔值,而且直接从布尔值转换为字符串也是不可能的。我们还利用strconv及其FormatBool来处理这个转换。

您可能还注意到,对于这个例子,我们直接将表单POST到 API 端点。虽然这是演示数据进入数据库的有效方式,但在实践中使用它可能会强制一些 RESTful 反模式,比如启用重定向 URL 以返回到调用页面。

通过客户端利用一个常见的库或者通过XMLHttpRequest本地化来实现 Ajax 调用是更好的方法。

注意

注意:虽然内部函数/方法的名称在很大程度上是个人偏好的问题,但我们建议通过资源类型和请求方法来保持所有方法的区分。这里使用的实际约定并不重要,但在遍历代码时,诸如APICommentPostAPICommentGetAPICommentPutAPICommentDelete这样的命名方式可以更好地组织方法,使其更易读。

考虑到前端和后端的代码,我们可以看到这将如何呈现给访问我们第二篇博客文章的用户:

使用 POST 创建数据

正如前面提到的,实际在这里添加评论将直接发送表单到 API 端点,希望它会悄悄成功。

使用 PUT 修改数据

根据您询问的人,PUTPOST可以互换地用于创建记录。有些人认为两者都可以用于更新记录,大多数人认为两者都可以用于创建记录,只要给定一组变量。为了避免陷入一场有些混乱且常常带有政治色彩的辩论,我们将两者分开如下:

  • 创建新记录:POST

  • 更新现有记录,幂等性:PUT

根据这些准则,当我们希望更新资源时,我们将利用PUT动词。我们将允许任何人编辑评论,仅仅作为使用 REST PUT动词的概念验证。

在第六章会话和 Cookie中,我们将更加严格地限制这一点,但我们也希望能够通过 RESTful API 演示内容的编辑;因此,这将代表一个将来更安全和完整的不完整存根。

与创建新评论一样,在这里没有安全限制。任何人都可以创建评论,任何人都可以编辑它。至少在这一点上,这是博客软件的狂野西部。

首先,我们希望能够看到我们提交的评论。为此,我们需要对我们的Page struct进行微小的修改,并创建一个Comment struct以匹配我们的数据库结构:

type Comment struct {
  Id    int
  Name   string
  Email  string
  CommentText string
}

type Page struct {
  Id         int
  Title      string
  RawContent string
  Content    template.HTML
  Date       string
  Comments   []Comment
  Session    Session
  GUID       string
}

由于之前发布的所有评论都没有任何真正的喧闹,博客文章页面上没有实际评论的记录。为了解决这个问题,我们将添加一个简单的Comments查询,并使用.Scan方法将它们扫描到一个Comment struct数组中。

首先,我们将在ServePage中添加查询:

func ServePage(w http.ResponseWriter, r *http.Request) {
  vars := mux.Vars(r)
  pageGUID := vars["guid"]
  thisPage := Page{}
  fmt.Println(pageGUID)
  err := database.QueryRow("SELECT id,page_title,page_content,page_date FROM pages WHERE page_guid=?", pageGUID).Scan(&thisPage.Id, &thisPage.Title, &thisPage.RawContent, &thisPage.Date)
  thisPage.Content = template.HTML(thisPage.RawContent)
  if err != nil {
    http.Error(w, http.StatusText(404), http.StatusNotFound)
    log.Println(err)
    return
  }

  comments, err := database.Query("SELECT id, comment_name as Name, comment_email, comment_text FROM comments WHERE page_id=?", thisPage.Id)
  if err != nil {
    log.Println(err)
  }
  for comments.Next() {
    var comment Comment
    comments.Scan(&comment.Id, &comment.Name, &comment.Email, &comment.CommentText)
    thisPage.Comments = append(thisPage.Comments, comment)
  }

  t, _ := template.ParseFiles("templates/blog.html")
  t.Execute(w, thisPage)
}

现在我们已经将Comments打包进我们的Page struct中,我们可以在页面上显示Comments

使用 PUT 修改数据

由于我们允许任何人进行编辑,我们将不得不为每个项目创建一个表单,这将允许修改。一般来说,HTML 表单只允许GETPOST请求,所以我们被迫使用XMLHttpRequest来发送这个请求。为了简洁起见,我们将利用 jQuery 及其ajax()方法。

首先,对于我们模板中的评论范围:

{{range .Comments}}
  <div class="comment">
    <div>Comment by {{.Name}} ({{.Email}})</div>
    {{.CommentText}}

    <div class="comment_edit">
    <h2>Edit</h2>
    <form onsubmit="return putComment(this);">
      <input type="hidden" class="edit_id" value="{{.Id}}" />
      <input type="text" name="name" class="edit_name" placeholder="Your Name" value="{{.Name}}" />
     <input type="text" name="email" class="edit_email" placeholder="Your Email" value="{{.Email}}" />
      <textarea class="edit_comments" name="comments">{{.CommentText}}</textarea>
      <input type="submit" value="Edit" />
    </form>
    </div>
  </div>
{{end}}

然后,我们的 JavaScript 将使用PUT来处理表单:

<script>
    function putComment(el) {
        var id = $(el).find('.edit_id');
        var name = $(el).find('.edit_name').val();
        var email = $(el).find('.edit_email').val();
        var text = $(el).find('.edit_comments').val();
        $.ajax({
            url: '/api/comments/' + id,
            type: 'PUT',
            succes: function(res) {
                alert('Comment Updated!');
            }
        });
        return false;
    }
</script>

为了处理这个使用PUT动词的调用,我们需要一个更新路由和函数。现在让我们添加它们:

  routes.HandleFunc("/api/comments", APICommentPost).
    Methods("POST")
  routes.HandleFunc("/api/comments/{id:[\\w\\d\\-]+}", APICommentPut).
 Methods("PUT")

这样就可以启用一个路由,现在我们只需要添加相应的函数,它看起来会和我们的POST/Create方法非常相似:

func APICommentPut(w http.ResponseWriter, r *http.Request) {
  err := r.ParseForm()
  if err != nil {
  log.Println(err.Error)
  }
  vars := mux.Vars(r)
  id := vars["id"]
  fmt.Println(id)
  name := r.FormValue("name")
  email := r.FormValue("email")
  comments := r.FormValue("comments")
  res, err := database.Exec("UPDATE comments SET comment_name=?, comment_email=?, comment_text=? WHERE comment_id=?", name, email, comments, id)
  fmt.Println(res)
  if err != nil {
    log.Println(err.Error)
  }

  var resp JSONResponse

  jsonResp, _ := json.Marshal(resp)
  w.Header().Set("Content-Type", "application/json")
  fmt.Fprintln(w, jsonResp)
}

简而言之,这将把我们的表单转变为基于评论内部 ID 的数据更新。正如前面提到的,这与我们的POST路由方法并没有完全不同,就像那个方法一样,它也不返回任何数据。

总结

在本章中,我们从独占服务器生成的 HTML 演示转变为利用 API 的动态演示。我们研究了 REST 的基础知识,并为我们的博客应用程序实现了一个 RESTful 接口。

虽然这可以使用更多客户端的修饰,但我们有GET/POST/PUT请求是功能性的,并允许我们为我们的博客文章创建、检索和更新评论。

在第六章,“会话和 Cookie”中,我们将研究用户认证、会话和 Cookie,以及如何将本章中我们所建立的基本组件应用到一些非常重要的安全参数上。在本章中,我们对评论进行了开放式的创建和更新;我们将在下一章中将其限制为唯一用户。

通过这一切,我们将把我们的概念验证评论管理转变为可以在生产中实际使用的东西。

第六章:会话和 Cookie

我们的应用现在开始变得更加真实;在上一章中,我们为它们添加了一些 API 和客户端接口。

在我们应用的当前状态下,我们已经添加了/api/comments/api/comments/[id]/api/pages/api/pages/[id],这样我们就可以以 JSON 格式获取和更新我们的数据,并使应用更适合 Ajax 和客户端访问。

虽然我们现在可以通过我们的 API 直接添加评论和编辑评论,但是对谁可以执行这些操作没有任何限制。在本章中,我们将探讨限制对某些资产的访问、建立身份和在拥有它们时进行安全认证的方法。

最终,我们应该能够让用户注册和登录,并利用会话、cookie 和闪存消息以安全的方式在我们的应用中保持用户状态。

设置 cookie

创建持久内存跨用户会话的最常见、基本和简单的方式是利用 cookie。

Cookie 提供了一种在请求、URL 端点甚至域之间共享状态信息的方式,并且它们已经被以各种可能的方式使用(和滥用)。

它们通常用于跟踪身份。当用户登录到一个服务时,后续的请求可以通过利用存储在 cookie 中的会话信息来访问前一个请求的某些方面(而不需要重复查找或登录模块)。

如果你熟悉其他语言中 cookie 的实现,基本的struct会很熟悉。即便如此,以下相关属性与向客户端呈现 cookie 的方式基本一致:

type Cookie struct {
  Name       string
  Value      string
  Path       string
  Domain     string
  Expires    time.Time
  RawExpires string
  MaxAge   int
  Secure   bool
  HttpOnly bool
  Raw      string
  Unparsed []string
}

对于一个非常基本的struct来说,这是很多属性,所以让我们专注于重要的属性。

Name属性只是 cookie 的键。Value属性代表其内容,Expires是一个Time值,表示 cookie 应该被浏览器或其他无头接收者刷新的时间。这就是你在 Go 中设置一个有效 cookie 所需要的一切。

除了基础知识,如果你想要限制 cookie 的可访问性,你可能会发现设置PathDomainHttpOnly是有用的。

捕获用户信息

当一个具有有效会话和/或 cookie 的用户尝试访问受限数据时,我们需要从用户的浏览器中获取它。

一个会话本身就是一个在网站上的单个会话。它并不会自然地无限期持续,所以我们需要留下一个线索,但我们也希望留下一个相对安全的线索。

例如,我们绝不希望在 cookie 中留下关键的用户信息,比如姓名、地址、电子邮件等等。

然而,每当我们有一些标识信息时,我们都会留下一些不良行为的可能性——在这种情况下,我们可能会留下代表我们会话 ID 的会话标识符。在这种情况下,这个向量允许获得这个 cookie 的人以我们其中一个用户的身份登录并更改信息,查找账单详情等等。

这些类型的物理攻击向量远远超出了这个(以及大多数)应用的范围,而且在很大程度上,这是一个让步,即如果有人失去了对他们的物理机器的访问权限,他们也可能会遭受账户被破坏的风险。

在这里我们想要做的是确保我们不会在明文或没有安全连接的情况下传输个人或敏感信息。我们将在第九章 安全中介绍如何设置 TLS,所以在这里我们想要专注于限制我们在 cookie 中存储的信息量。

创建用户

在上一章中,我们允许非授权的请求通过POST命中我们的 REST API 来创建新的评论。在互联网上待了一段时间的人都知道一些真理,比如:

  1. 评论部分通常是任何博客或新闻帖子中最有毒的部分

  2. 即使用户必须以非匿名的方式进行身份验证,步骤 1 也是正确的

现在,让我们限制评论部分,以确保用户已注册并已登录。

我们现在不会深入探讨身份验证的安全方面,因为我们将在第九章 安全中更深入地讨论这个问题。

首先,在我们的数据库中添加一个users表:

CREATE TABLE `users` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `user_name` varchar(32) NOT NULL DEFAULT '',
  `user_guid` varchar(256) NOT NULL DEFAULT '',
  `user_email` varchar(128) NOT NULL DEFAULT '',
  `user_password` varchar(128) NOT NULL DEFAULT '',
  `user_salt` varchar(128) NOT NULL DEFAULT '',
  `user_joined_timestamp` timestamp NULL DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

我们当然可以深入研究用户信息,但这已经足够让我们开始了。正如前面提到的,我们不会深入研究安全性,所以现在我们只是为密码生成一个哈希值,不用担心盐。

最后,为了在应用程序中启用会话和用户,我们将对我们的 structs 进行一些更改:

type Page struct {
  Id         int
  Title      string
  RawContent string
  Content    template.HTML
  Date       string
  Comments   []Comment
  Session    Session
}

type User struct {
  Id   int
  Name string
}

type Session struct {
  Id              string
  Authenticated   bool
  Unauthenticated bool
  User            User
}

以下是用于注册和登录的两个存根处理程序。同样,我们并没有将全部精力投入到将它们完善成健壮的东西,我们只是想打开一点门。

启用会话

除了存储用户本身之外,我们还需要一种持久性内存的方式来访问我们的 cookie 数据。换句话说,当用户的浏览器会话结束并且他们回来时,我们将验证和调和他们的 cookie 值与我们数据库中的值。

使用此 SQL 创建sessions表:

CREATE TABLE `sessions` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `session_id` varchar(256) NOT NULL DEFAULT '',
  `user_id` int(11) DEFAULT NULL,
  `session_start` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  `session_update` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00',
  `session_active` tinyint(1) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `session_id` (`session_id`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

最重要的值是user_idsession_id和更新和开始的时间戳。我们可以使用后两者来决定在一定时间后会话是否实际上是有效的。这是一个很好的安全实践,仅仅因为用户有一个有效的 cookie 并不一定意味着他们应该保持身份验证,特别是如果您没有使用安全连接。

让用户注册

为了让用户能够自行创建账户,我们需要一个注册和登录的表单。现在,大多数类似的系统都会进行一些多因素身份验证,以允许用户备份系统进行检索,并验证用户的真实性和唯一性。我们会做到这一点,但现在让我们尽可能简单。

我们将设置以下端点,允许用户POST注册和登录表单:

  routes.HandleFunc("/register", RegisterPOST).
    Methods("POST").
    Schemes("https")
  routes.HandleFunc("/login", LoginPOST).
    Methods("POST").
    Schemes("https")

请记住,这些目前设置为 HTTPS 方案。如果您不使用 HTTPS,请删除HandleFunc注册的部分。

由于我们只向未经身份验证的用户显示以下视图,我们可以将它们放在我们的blog.html模板中,并将它们包裹在{{if .Session.Unauthenticated}} … {{end}}模板片段中。我们在应用程序中的Session struct下定义了.Unauthenticated.Authenticated,如下例所示:

{{if .Session.Unauthenticated}}<form action="/register" method="POST">
  <div><input type="text" name="user_name" placeholder="User name" /></div>
  <div><input type="email" name="user_email" placeholder="Your email" /></div>
  <div><input type="password" name="user_password" placeholder="Password" /></div>
  <div><input type="password" name="user_password2" placeholder="Password (repeat)" /></div>
  <div><input type="submit" value="Register" /></div>
</form>{{end}}

和我们的/register端点:

func RegisterPOST(w http.ResponseWriter, r *http.Request) {
  err := r.ParseForm()
  if err != nil {
    log.Fatal(err.Error)
  }
  name := r.FormValue("user_name")
  email := r.FormValue("user_email")
  pass := r.FormValue("user_password")
  pageGUID := r.FormValue("referrer")
  // pass2 := r.FormValue("user_password2")
  gure := regexp.MustCompile("[^A-Za-z0-9]+")
  guid := gure.ReplaceAllString(name, "")
  password := weakPasswordHash(pass)

  res, err := database.Exec("INSERT INTO users SET user_name=?, user_guid=?, user_email=?, user_password=?", name, guid, email, password)
  fmt.Println(res)
  if err != nil {
    fmt.Fprintln(w, err.Error)
  } else {
    http.Redirect(w, r, "/page/"+pageGUID, 301)
  }
}

请注意,由于多种原因,这种方式并不优雅。如果密码不匹配,我们不会检查并向用户报告。如果用户已经存在,我们也不会告诉他们注册失败的原因。我们会解决这个问题,但现在我们的主要目的是生成一个会话。

供参考,这是我们的weakPasswordHash函数,它只用于生成测试哈希:

func weakPasswordHash(password string) []byte {
  hash := sha1.New()
  io.WriteString(hash, password)
  return hash.Sum(nil)
}

让用户登录

用户可能已经注册过了;在这种情况下,我们也希望在同一个页面上提供登录机制。这显然可以根据更好的设计考虑来实现,但我们只是想让它们都可用:

<form action="/login" method="POST">
  <div><input type="text" name="user_name" placeholder="User name" /></div>
  <div><input type="password" name="user_password" placeholder="Password" /></div>
  <div><input type="submit" value="Log in" /></div>
</form>

然后我们将需要为每个 POST 表单设置接收端点。我们在这里也不会进行太多的验证,但我们也没有验证会话的位置。

启动服务器端会话

在 Web 上验证用户并保存其状态的最常见方式之一是通过会话。您可能还记得我们在上一章中提到过 REST 是无状态的,这主要是因为 HTTP 本身是无状态的。

如果您考虑一下,要建立与 HTTP 一致的状态,您需要包括一个 cookie 或 URL 参数或其他不是协议本身内置的东西。

会话是使用通常不是完全随机但足够唯一以避免大多数逻辑和合理情况下的冲突的唯一标识符创建的。当然,这并不是绝对的,当然,有很多(历史上的)会话令牌劫持的例子与嗅探无关。

作为一个独立的过程,会话支持在 Go 核心中并不存在。鉴于我们在服务器端有一个存储系统,这有点无关紧要。如果我们为生成服务器密钥创建一个安全的过程,我们可以将它们存储在安全的 cookie 中。

但生成会话令牌并不完全是微不足道的。我们可以使用一组可用的加密方法来实现这一点,但是由于会话劫持是一种非常普遍的未经授权进入系统的方式,这可能是我们应用程序中的一个不安全的点。

由于我们已经在使用 Gorilla 工具包,好消息是我们不必重新发明轮子,已经有一个强大的会话系统。

我们不仅可以访问服务器端会话,而且还可以获得一个非常方便的工具,用于会话中的一次性消息。这些工作方式与消息队列有些类似,一旦数据进入其中,当数据被检索时,闪存消息就不再有效。

创建存储

要使用 Gorilla 会话,我们首先需要调用一个 cookie 存储,它将保存我们想要与用户关联的所有变量。您可以通过以下代码很容易地测试这一点:

package main

import (
  "fmt"
  "github.com/gorilla/sessions"
  "log"
  "net/http"
)

func cookieHandler(w http.ResponseWriter, r *http.Request) {
  var cookieStore = sessions.NewCookieStore([]byte("ideally, some random piece of entropy"))
  session, _ := cookieStore.Get(r, "mystore")
  if value, exists := session.Values["hello"]; exists {
    fmt.Fprintln(w, value)
  } else {
    session.Values["hello"] = "(world)"
    session.Save(r, w)
    fmt.Fprintln(w, "We just set the value!")
  }
}

func main() {
  http.HandleFunc("/test", cookieHandler)
  log.Fatal(http.ListenAndServe(":8080", nil))
}

第一次访问您的 URL 和端点时,您将看到我们刚刚设置了值!,如下面的截图所示:

创建存储

在第二个请求中,您应该看到(world),如下面的截图所示:

创建存储

这里有几点需要注意。首先,在通过io.Writer(在这种情况下是ResponseWriter w)发送任何其他内容之前,您必须设置 cookies。如果您交换这些行:

    session.Save(r, w)
    fmt.Fprintln(w, "We just set the value!")

您可以看到这个过程。您永远不会得到设置为 cookie 存储的值。

现在,让我们将其应用到我们的应用程序中。我们将在对/login/register的任何请求之前初始化一个会话存储。

我们将初始化一个全局的sessionStore

var database *sql.DB
var sessionStore = sessions.NewCookieStore([]byte("our-social-network-application"))

也可以自由地将这些分组在var()中。接下来,我们将创建四个简单的函数,用于获取活动会话,更新当前会话,生成会话 ID,并评估现有的 cookie。这将允许我们通过 cookie 的会话 ID 检查用户是否已登录,并启用持久登录。

首先是getSessionUID函数,如果会话已经存在,它将返回用户的 ID:

func getSessionUID(sid string) int {
  user := User{}
  err := database.QueryRow("SELECT user_id FROM sessions WHERE session_id=?", sid).Scan(user.Id)
  if err != nil {
    fmt.Println(err.Error)
    return 0
  }
  return user.Id
}

接下来是更新函数,它将在每个面向前端的请求中调用,从而使时间戳更新或者在尝试新的登录时包含用户 ID:

func updateSession(sid string, uid int) {
  const timeFmt = "2006-01-02T15:04:05.999999999"
  tstamp := time.Now().Format(timeFmt)
  _, err := database.Exec("INSERT INTO sessions SET session_id=?, user_id=?, session_update=? ON DUPLICATE KEY UPDATE user_id=?, session_update=?", sid, uid, tstamp, uid, tstamp)
  if err != nil {
    fmt.Println(err.Error)
  }
}

一个重要的部分是能够生成一个强大的随机字节数组(转换为字符串),以允许唯一的标识符。我们可以通过以下generateSessionId()函数来实现:

func generateSessionId() string {
  sid := make([]byte, 24)
  _, err := io.ReadFull(rand.Reader, sid)
  if err != nil {
    log.Fatal("Could not generate session id")
  }
  return base64.URLEncoding.EncodeToString(sid)
}

最后,我们有一个函数,它将在每个请求中被调用,检查 cookie 的会话是否存在,如果不存在则创建一个。

func validateSession(w http.ResponseWriter, r *http.Request) {
  session, _ := sessionStore.Get(r, "app-session")
  if sid, valid := session.Values["sid"]; valid {
    currentUID := getSessionUID(sid.(string))
    updateSession(sid.(string), currentUID)
    UserSession.Id = string(currentUID)
  } else {
    newSID := generateSessionId()
    session.Values["sid"] = newSID
    session.Save(r, w)
    UserSession.Id = newSID
    updateSession(newSID, 0)
  }
  fmt.Println(session.ID)
}

这是建立在有一个全局的Session struct的基础上的,在这种情况下定义如下:

var UserSession Session

这让我们只剩下一个部分——在我们的ServePage()方法和LoginPost()方法上调用validateSession(),然后在后者上验证密码并在成功登录尝试时更新我们的会话:

func LoginPOST(w http.ResponseWriter, r *http.Request) {
  validateSession(w, r)

在我们之前定义的对表单值的检查中,如果找到一个有效的用户,我们将直接更新会话:

  u := User{}
  name := r.FormValue("user_name")
  pass := r.FormValue("user_password")
  password := weakPasswordHash(pass)
  err := database.QueryRow("SELECT user_id, user_name FROM users WHERE user_name=? and user_password=?", name, password).Scan(&u.Id, &u.Name)
  if err != nil {
    fmt.Fprintln(w, err.Error)
    u.Id = 0
    u.Name = ""
  } else {
    updateSession(UserSession.Id, u.Id)
    fmt.Fprintln(w, u.Name)
  }

利用闪存消息

正如本章前面提到的,Gorilla 会话提供了一种简单的系统,用于在请求之间利用基于单次使用和基于 cookie 的数据传输。

闪存消息背后的想法与浏览器/服务器消息队列并没有太大的不同。它最常用于这样的过程:

  • 一个表单被提交

  • 数据被处理

  • 发起一个头部重定向

  • 生成的页面需要一些关于POST过程(成功、错误)的信息访问

在这个过程结束时,应该删除消息,以便消息不会在其他地方错误地重复。Gorilla 使这变得非常容易,我们很快就会看到,但是展示一下如何在原生 Go 中实现这一点是有意义的。

首先,我们将创建一个包含起始点处理程序startHandler的简单 HTTP 服务器:

package main

import (
  "fmt"
  "html/template"
  "log"
  "net/http"
  "time"
)

var (
  templates = template.Must(template.ParseGlob("templates/*"))
  port      = ":8080"
)

func startHandler(w http.ResponseWriter, r *http.Request) {
  err := templates.ExecuteTemplate(w, "ch6-flash.html", nil)
  if err != nil {
    log.Fatal("Template ch6-flash missing")
  }
}

我们在这里没有做任何特别的事情,只是渲染我们的表单:

func middleHandler(w http.ResponseWriter, r *http.Request) {
  cookieValue := r.PostFormValue("message")
  cookie := http.Cookie{Name: "message", Value: "message:" + cookieValue, Expires: time.Now().Add(60 * time.Second), HttpOnly: true}
  http.SetCookie(w, &cookie)
  http.Redirect(w, r, "/finish", 301)
}

我们的middleHandler演示了通过Cookie struct创建 cookie,正如本章前面所述。这里没有什么重要的要注意,除了您可能希望将到期时间延长一点,以确保在请求之间没有办法使 cookie 过期(自然地):

func finishHandler(w http.ResponseWriter, r *http.Request) {
  cookieVal, _ := r.Cookie("message")

  if cookieVal != nil {
    fmt.Fprintln(w, "We found: "+string(cookieVal.Value)+", but try to refresh!")
    cookie := http.Cookie{Name: "message", Value: "", Expires: time.Now(), HttpOnly: true}
    http.SetCookie(w, &cookie)
  } else {
    fmt.Fprintln(w, "That cookie was gone in a flash")
  }

}

finishHandler函数执行闪存消息的魔术——仅在找到值时删除 cookie。这确保了 cookie 是一次性可检索的值:

func main() {

  http.HandleFunc("/start", startHandler)
  http.HandleFunc("/middle", middleHandler)
  http.HandleFunc("/finish", finishHandler)
  log.Fatal(http.ListenAndServe(port, nil))

}

以下示例是我们用于将我们的 cookie 值 POST 到/middle处理程序的 HTML:

<html>
<head><title>Flash Message</title></head>
<body>
<form action="/middle" method="POST">
  <input type="text" name="message" />
  <input type="submit" value="Send Message" />
</form>
</body>
</html>

如果您按照页面的建议再次刷新,cookie 值将被删除,页面将不会呈现,就像您之前看到的那样。

要开始闪存消息,我们点击我们的/start端点,并输入一个预期的值,然后点击发送消息按钮:

利用闪存消息

在这一点上,我们将被发送到/middle端点,该端点将设置 cookie 值并将 HTTP 重定向到/finish

利用闪存消息

现在我们可以看到我们的价值。由于/finish端点处理程序还取消了 cookie,我们将无法再次检索该值。如果我们在第一次出现时按照/finish的指示做什么,会发生什么:

利用闪存消息

就这些了。

总结

希望到目前为止,您已经掌握了如何在 Go 中利用基本的 cookie 和会话,无论是通过原生 Go 还是通过使用 Gorilla 等框架。我们已经尝试演示了后者的内部工作原理,以便您能够在不使用额外库混淆功能的情况下进行构建。

我们已经将会话实现到我们的应用程序中,以实现请求之间的持久状态。这是 Web 身份验证的基础。通过在数据库中启用userssessions表,我们能够登录用户,注册会话,并在后续请求中将该会话与正确的用户关联起来。

通过利用闪存消息,我们利用了一个非常特定的功能,允许在两个端点之间传输信息,而不需要启用可能看起来像错误或生成错误输出的额外请求。我们的闪存消息只能使用一次,然后过期。

在第七章中,微服务和通信,我们将研究如何连接现有和新 API 之间的不同系统和应用程序,以允许基于事件的操作在这些系统之间协调。这将有助于连接到同一环境中的其他服务,以及应用程序之外的服务。

第七章:微服务和通信

我们的应用现在开始变得更加真实。在上一章中,我们为它们添加了一些 API 和客户端界面。

在过去几年中,微服务变得非常热门,主要是因为它们减少了非常大或单片应用的开发和支持负担。通过拆分这些单片应用,微服务实现了更加敏捷和并发的开发。它们可以让不同团队在不用太担心冲突、向后兼容性问题或者干扰应用的其他部分的情况下,分别处理应用的不同部分。

在本章中,我们将介绍微服务,并探讨 Go 语言如何在其中发挥作用,以实现它们甚至驱动它们的核心机制。

总结一下,我们将涵盖以下方面:

  • 微服务方法介绍

  • 利用微服务的利弊

  • 理解微服务的核心

  • 微服务之间的通信

  • 将消息发送到网络

  • 从另一个服务中读取

微服务方法介绍

如果你还没有遇到过微服务这个术语,或者没有深入探讨过它的含义,我们可以很快地揭开它的神秘面纱。微服务本质上是一个整体应用的独立功能,被拆分并通过一些通用的协议变得可访问。

通常情况下,微服务方法被用来拆分非常庞大的单片应用。

想象一下 2000 年代中期的标准 Web 应用。当需要新功能时,比如给新用户发送电子邮件的功能,它会直接添加到代码库中,并与应用的其他部分集成。

随着应用的增长,必要的测试覆盖范围也在增加。因此,关键错误的潜在可能性也在增加。在这种情况下,一个关键错误不仅会导致该组件(比如电子邮件系统)崩溃,还会导致整个应用崩溃。

这可能是一场噩梦,追踪、修补和重新部署,这正是微服务旨在解决的问题。

如果应用的电子邮件部分被分离到自己的应用中,它就具有了一定程度的隔离和保护,这样找到问题就容易得多。这也意味着整个堆栈不会因为有人在整个应用的一个小部分引入了关键错误而崩溃,如下图所示:

微服务方法介绍

考虑以下基本的示例架构,一个应用被拆分成四个独立的概念,它们在微服务框架中代表着自己的应用。

曾经,每个部分都存在于自己的应用中;现在它们被拆分成更小、更易管理的系统。应用之间的通信通过使用 REST API 端点的消息队列进行。

利用微服务的利弊

如果微服务在这一点上看起来像灵丹妙药,我们也应该注意到,这种方法并非没有自己的问题。是否值得进行权衡取决于整体组织方法。

正如前面提到的,稳定性和错误检测对于微服务来说是一个重大的生产级胜利。但如果考虑到应用不会崩溃的另一面,这也可能意味着问题会隐藏得比原本更长时间。整个站点崩溃是很难忽视的,但除非有非常健壮的日志记录,否则可能需要几个小时才能意识到电子邮件没有发送。

但微服务还有其他很大的优势。首先,利用外部标准通信协议(比如 REST)意味着你不会被锁定在单一语言中。

例如,如果你的应用程序的某个部分在 Node 中的编写比在 Go 中更好,你可以这样做,而不必重写整个应用程序。这是开发人员经常会面临的诱惑:重写整个应用程序,因为引入了新的和闪亮的语言应用程序或功能。好吧,微服务可以安全地实现这种行为——它允许开发人员或一组开发人员尝试某些东西,而无需深入到他们希望编写的特定功能之外。

这也带来了一个潜在的负面情景——因为应用程序组件是解耦的,所以围绕它们的机构知识也可以是解耦的。很少有开发人员可能了解足够多以使服务运行良好。团队中的其他成员可能缺乏语言知识,无法介入并修复关键错误。

最后一个,但很重要的考虑是,微服务架构通常意味着默认情况下是分布式环境。这导致我们面临的最大的即时警告是,这种情况几乎总是意味着最终一致性是游戏的名字。

由于每条消息都必须依赖于多个外部服务,因此您需要经历多层延迟才能使更改生效。

理解微服务的核心

你可能会想到一件事,当你考虑这个系统来设计协调工作的不和谐服务时:通信平台是什么?为了回答这个问题,我们会说有一个简单的答案和一个更复杂的答案。

简单的答案是 REST。这是一个好消息,因为您很可能对 REST 非常熟悉,或者至少从第五章中了解了一些内容,RESTful API 的前端集成。在那里,我们描述了利用 RESTful、无状态协议进行 API 通信的基础,并实现 HTTP 动词作为操作。

这让我们得出了更复杂的答案:在一个大型或复杂的应用程序中,并非所有内容都可以仅仅依靠 REST 来运行。有些事情需要状态,或者至少需要一定程度的持久一致性。

对于后者的问题,大多数微服务架构都以消息队列作为信息共享和传播的平台。消息队列充当一个通道,接收来自一个服务的 REST 请求,并将其保存,直到另一个服务检索请求进行进一步处理。

微服务之间的通信

有许多微服务之间进行通信的方法,正如前面提到的;REST 端点为消息提供了一个很好的着陆点。您可能还记得前面的图表,显示消息队列作为服务之间的中央通道。这是处理消息传递的最常见方式之一,我们将使用 RabbitMQ 来演示这一点。

在这种情况下,我们将展示当新用户注册到我们的 RabbitMQ 安装中的电子邮件队列以便传递消息时,这些消息将被电子邮件微服务接收。

注意

您可以在这里阅读有关 RabbitMQ 的更多信息,它使用高级消息队列协议AMQP):www.rabbitmq.com/

要为 Go 安装 AMQP 客户端,我们建议使用 Sean Treadway 的 AMQP 包。您可以使用go get命令安装它。您可以在github.com/streadway/amqp上获取它

将消息发送到网络

有很多使用 RabbitMQ 的方法。例如,一种方法允许多个工作者完成相同的工作,作为在可用资源之间分配工作的方法。

毫无疑问,随着系统的增长,很可能会发现对该方法的使用。但在我们的小例子中,我们希望根据特定通道对任务进行分离。当然,这与 Go 的并发通道不相似,所以在阅读这种方法时请记住这一点。

但是要解释这种方法,我们可能有单独的交换机来路由我们的消息。在我们的示例中,我们可能有一个日志队列,其中来自所有服务的消息被聚合到一个单一的日志位置,或者一个缓存过期方法,当它们从数据库中删除时,从内存中删除缓存项。

在这个例子中,我们将实现一个电子邮件队列,可以从任何其他服务接收消息,并使用其内容发送电子邮件。这将使所有电子邮件功能都在核心和支持服务之外。

回想一下,在第五章中,与 RESTful API 集成的前端,我们添加了注册和登录方法。我们在这里最感兴趣的是RegisterPOST(),在这里我们允许用户注册我们的网站,然后评论我们的帖子。

新注册用户收到电子邮件并不罕见,无论是用于确认身份还是用于简单的欢迎消息。我们将在这里做后者,但添加确认是微不足道的;只是生成一个密钥,通过电子邮件发送,然后在链接被点击后启用用户。

由于我们使用了外部包,我们需要做的第一件事是导入它。

这是我们的做法:

import (
  "bufio"
  "crypto/rand"
  "crypto/sha1"
  "database/sql"
  "encoding/base64"
  "encoding/json"
  "fmt"
  _ "github.com/go-sql-driver/mysql"
  "github.com/gorilla/mux"
  "github.com/gorilla/sessions"
  "github.com/streadway/amqp"
  "html/template"
  "io"
  "log"
  "net/http"
  "regexp"
  "text/template"
  "time"
)

请注意,这里我们包含了text/template,这并不是严格必要的,因为我们有html/template,但我们在这里注意到,以防您希望在单独的进程中使用它。我们还包括了bufio,我们将在同一模板处理过程中使用它。

为了发送电子邮件,有一个消息和一个电子邮件的标题将是有帮助的,所以让我们声明这些。在生产环境中,我们可能会有一个单独的语言文件,但在这一点上我们没有其他东西可以展示:

var WelcomeTitle = "You've successfully registered!"
var WelcomeEmail = "Welcome to our CMS, {{Email}}!  We're glad you could join us."

这些只是我们在成功注册时需要利用的电子邮件变量。

由于我们正在将消息发送到线上,并将一些应用程序逻辑的责任委托给另一个服务,所以现在我们只需要确保我们的消息已被 RabbitMQ 接收。

接下来,我们需要连接到队列,我们可以通过引用或重新连接每条消息来传递。通常,您会希望将连接保持在队列中很长时间,但在测试时,您可能选择重新连接和关闭每次连接。

为了这样做,我们将把我们的 MQ 主机信息添加到我们的常量中:

const (
  DBHost  = "127.0.0.1"
  DBPort  = ":3306"
  DBUser  = "root"
  DBPass  = ""
  DBDbase = "cms"
  PORT    = ":8080"
  MQHost  = "127.0.0.1"
  MQPort  = ":5672"
)

当我们创建一个连接时,我们将使用一种相对熟悉的TCP Dial()方法,它返回一个 MQ 连接。这是我们用于连接的函数:

func MQConnect() (*amqp.Connection, *amqp.Channel, error) {
  url := "amqp://" + MQHost + MQPort
  conn, err := amqp.Dial(url)
  if err != nil {
    return nil, nil, err
  }
  channel, err := conn.Channel()
  if err != nil {
    return nil, nil, err
  }
  if _, err := channel.QueueDeclare("", false, true, false, false, nil); err != nil {
    return nil, nil, err
  }
  return conn, channel, nil
}

我们可以选择通过引用传递连接,或者将其作为全局连接,并考虑所有适用的注意事项。

提示

您可以在www.rabbitmq.com/heartbeats.html了解更多关于 RabbitMQ 连接和检测中断连接的信息

从技术上讲,任何生产者(在本例中是我们的应用程序)都不会将消息推送到队列,而是将它们推送到交换机。RabbitMQ 允许您使用rabbitmqctl list_exchanges命令找到交换机(而不是list_queues)。在这里,我们使用一个空的交换机,这是完全有效的。队列和交换机之间的区别并不是微不足道的;后者负责定义围绕消息的规则,以便传递到一个或多个队列。

在我们的RegisterPOST()中,当成功注册时,让我们发送一个 JSON 编码的消息。我们需要一个非常简单的struct来维护我们需要的数据:

type RegistrationData struct {
  Email   string `json:"email"`
  Message string `json:"message"`
}

现在,如果且仅如果注册过程成功,我们将创建一个新的RegistrationData struct

  res, err := database.Exec("INSERT INTO users SET user_name=?, user_guid=?, user_email=?, user_password=?", name, guid, email, password)

  if err != nil {
    fmt.Fprintln(w, err.Error)
  } else {
    Email := RegistrationData{Email: email, Message: ""}
    message, err := template.New("email").Parse(WelcomeEmail)
    var mbuf bytes.Buffer
    message.Execute(&mbuf, Email)
    MQPublish(json.Marshal(mbuf.String()))
    http.Redirect(w, r, "/page/"+pageGUID, 301)
  }

最后,我们需要实际发送我们的数据的函数MQPublish()

func MQPublish(message []byte) {
  err = channel.Publish(
    "email", // exchange
    "",      // routing key
    false,   // mandatory
    false,   // immediate
    amqp.Publishing{
      ContentType: "text/plain",
      Body:        []byte(message),
    })
}

从另一个服务中读取

现在我们已经在我们的应用程序中向消息队列发送了一条消息,让我们使用另一个微服务来从队列的另一端取出它。

为了展示微服务设计的灵活性,我们的次要服务将是一个连接到消息队列并监听电子邮件队列消息的 Python 脚本。当它找到一条消息时,它将解析消息并发送电子邮件。可选地,它可以将状态消息发布回队列或记录下来,但目前我们不会走这条路:

import pika
import json
import smtplib
from email.mime.text import MIMEText

connection = pika.BlockingConnection(pika.ConnectionParameters( host='localhost'))
channel = connection.channel()
channel.queue_declare(queue='email')

print ' [*] Waiting for messages. To exit press CTRL+C'

def callback(ch, method, properties, body):
    print " [x] Received %r" % (body,)
    parsed = json.loads(body)
    msg = MIMEText()
    msg['From'] = 'Me'
    msg['To'] = parsed['email']
    msg['Subject'] = parsed['message']
    s = smtplib.SMTP('localhost')
    s.sendmail('Me', parsed['email'], msg.as_string())
    s.quit()

channel.basic_consume(callback,
                      queue='email',
                      no_ack=True)

channel.start_consuming()

总结

在本章中,我们试图通过利用微服务来将应用程序分解为不同的责任领域。在这个例子中,我们将我们应用程序的电子邮件方面委托给了另一个用 Python 编写的服务。

我们这样做是为了利用微服务或互连的较小应用作为可调用的网络化功能的概念。这种理念最近驱动着网络的很大一部分,并具有无数的好处和缺点。

通过这样做,我们实现了一个消息队列,它作为我们通信系统的支柱,允许每个组件以可靠和可重复的方式与其他组件交流。在这种情况下,我们使用了一个 Python 应用程序来读取消息,这些消息是从我们的 Go 应用程序通过 RabbitMQ 发送的,并且处理了那些电子邮件数据。

在第八章日志和测试中,我们将专注于日志记录和测试,这可以用来扩展微服务的概念,以便我们可以从错误中恢复,并了解在过程中可能出现问题的地方。

第八章:日志和测试

在上一章中,我们讨论了将应用程序责任委托给可通过 API 访问的网络服务和由消息队列处理的进程内通信。

这种方法模仿了将大型单片应用程序分解为较小块的新兴趋势;因此,允许开发人员利用不同的语言、框架和设计。

我们列举了这种方法的一些优点和缺点;大多数优点涉及保持开发的敏捷和精益,同时防止可能导致整个应用程序崩溃和级联错误的灾难性错误,一个很大的缺点是每个单独组件的脆弱性。例如,如果我们的电子邮件微服务在大型应用程序中有糟糕的代码,错误会很快显现出来,因为它几乎肯定会直接对另一个组件产生可检测的影响。但通过将进程隔离为微服务的一部分,我们也隔离了它们的状态和状态。

这就是本章内容发挥作用的地方——在 Go 应用程序中进行测试和记录的能力是该语言设计的优势。通过在我们的应用程序中利用这些功能,它可以扩展到包括更多的微服务;因此,我们可以更好地跟踪系统中任何问题的齿轮,而不会给整个应用程序增加太多额外的复杂性。

在本章中,我们将涵盖以下主题:

  • 引入 Go 中的日志记录

  • IO 日志记录

  • 格式化你的输出

  • 使用 panic 和致命错误

  • 引入 Go 中的测试

引入 Go 中的日志记录

Go 提供了无数种方法来将输出显示到stdout,最常见的是fmt包的PrintPrintln。事实上,你可以完全放弃fmt包,只使用print()println()

在成熟的应用程序中,你不太可能看到太多这样的情况,因为仅仅显示输出而没有能力将其存储在某个地方以进行调试或后续分析是罕见的,也缺乏实用性。即使你只是向用户输出一些反馈,通常也有意义这样做,并保留将其保存到文件或其他地方的能力,这就是log包发挥作用的地方。本书中的大多数示例出于这个原因使用了log.Println而不是fmt.Println。如果你在某个时候选择用其他(或附加)io.Writer替换stdout,这种更改是微不足道的。

记录到 IO

到目前为止,我们一直在将日志记录到stdout,但你可以利用任何io.Writer来接收日志数据。事实上,如果你希望输出路由到多个地方,你可以使用多个io.Writer

多个记录器

大多数成熟的应用程序将写入多个日志文件,以区分需要保留的各种类型的消息。

这种最常见的用例在 Web 服务器中找到。它们通常保留一个access.log和一个error.log文件,以允许分析所有成功的请求;然而,它们还保留了不同类型消息的单独记录。

在下面的示例中,我们修改了我们的日志记录概念,包括错误和警告。

package main

import (
  "log"
  "os"
)
var (
  Warn   *log.Logger
  Error  *log.Logger
  Notice *log.Logger
)
func main() {
  warnFile, err := os.OpenFile("warnings.log", os.O_RDWR|os.O_APPEND, 0660)
  defer warnFile.Close()
  if err != nil {
    log.Fatal(err)
  }
  errorFile, err := os.OpenFile("error.log", os.O_RDWR|os.O_APPEND, 0660)
  defer errorFile.Close()
  if err != nil {
    log.Fatal(err)
  }

  Warn = log.New(warnFile, "WARNING: ", Log.LstdFlags
)

  Warn.Println("Messages written to a file called 'warnings.log' are likely to be ignored :(")

  Error = log.New(errorFile, "ERROR: ", log.Ldate|log.Ltime)
  Error.SetOutput(errorFile)
  Error.Println("Error messages, on the other hand, tend to catch attention!")
}

我们可以采用这种方法来存储各种信息。例如,如果我们想要存储注册错误,我们可以创建一个特定的注册错误记录器,并在遇到该过程中的错误时允许类似的方法。

  res, err := database.Exec("INSERT INTO users SET user_name=?, user_guid=?, user_email=?, user_password=?", name, guid, email, passwordEnc)

  if err != nil {
    fmt.Fprintln(w, err.Error)
    RegError.Println("Could not complete registration:", err.Error)
  } else {
    http.Redirect(w, r, "/page/"+pageGUID, 301)
  }

格式化你的输出

在实例化新的Logger时,你可以传递一些有用的参数和/或辅助字符串,以帮助定义和澄清输出。每个日志条目都可以以一个字符串开头,这在审查多种类型的日志条目时可能会有所帮助。你还可以定义你希望在每个条目上的日期和时间格式。

要创建自定义格式的日志,只需调用New()函数,并使用io.Writer,如下所示:

package main

import (
  "log"
  "os"
)

var (
  Warn   *log.Logger
  Error  *log.Logger
  Notice *log.Logger
)

func main() {
  warnFile, err := os.OpenFile("warnings.log", os.O_RDWR|os.O_APPEND, 0660)
  defer warnFile.Close()
  if err != nil {
    log.Fatal(err)
  }
  Warn = log.New(warnFile, "WARNING: ", log.Ldate|log.Ltime)

  Warn.Println("Messages written to a file called 'warnings.log' are likely to be ignored :(")
  log.Println("Done!")
}

这不仅允许我们使用log.Println函数与我们的stdout,还允许我们在名为warnings.log的日志文件中存储更重要的消息。使用os.O_RDWR|os.O_APPEND常量允许我们写入文件并使用追加文件模式,这对于日志记录很有用。

使用 panic 和致命错误

除了简单地存储应用程序的消息之外,您还可以创建应用程序的 panic 和致命错误,这将阻止应用程序继续运行。这对于任何错误不会导致执行停止的用例至关重要,因为这可能会导致潜在的安全问题、数据丢失或任何其他意外后果。这些类型的机制通常被限制在最关键的错误上。

何时使用panic()方法并不总是清楚的,但在实践中,这应该被限制在不可恢复的错误上。不可恢复的错误通常意味着状态变得模糊或无法保证。

例如,对从数据库获取的记录进行操作,如果未能从数据库返回预期的结果,则可能被视为不可恢复的,因为未来的操作可能发生在过时或丢失的数据上。

在下面的例子中,我们可以实现一个 panic,我们无法创建一个新用户;这很重要,这样我们就不会尝试重定向或继续进行任何进一步的创建步骤:

  if err != nil {
    fmt.Fprintln(w, err.Error)
    RegError.Println("Could not complete registration:", err.Error)
    panic("Error with registration,")
  } else {
    http.Redirect(w, r, "/page/"+pageGUID, 301)
  }

请注意,如果您想强制出现此错误,您可以在查询中故意制造一个 MySQL 错误:

  res, err := database.Exec("INSERT INTENTIONAL_ERROR INTO users SET user_name=?, user_guid=?, user_email=?, user_password=?", name, guid, email, passwordEnc)

当触发此错误时,您将在相应的日志文件或stdout中找到它:

使用 panic 和致命错误

在上面的例子中,我们利用 panic 作为一个硬性停止,这将阻止进一步的执行,从而可能导致进一步的错误和/或数据不一致。如果不需要硬性停止,使用recover()函数允许您在问题得到解决或减轻后重新进入应用程序流程。

在 Go 中引入测试

Go 打包了大量出色的工具,用于确保您的代码干净、格式良好、没有竞争条件等。从go vetgo fmt,许多在其他语言中需要单独安装的辅助应用程序都作为 Go 的一部分打包了。

测试是软件开发的关键步骤。单元测试和测试驱动开发有助于发现对开发人员来说并不立即显而易见的错误。通常我们对应用程序太熟悉,以至于无法发现可能引发其他未发现的错误的可用性错误。

Go 的测试包允许对实际功能进行单元测试,同时确保所有依赖项(网络、文件系统位置)都可用;在不同的环境中进行测试可以让您在用户之前发现这些错误。

如果您已经在使用单元测试,Go 的实现将会非常熟悉和愉快:

package example

func Square(x int) int {
  y := x * x
  return y
}

这保存为example.go。接下来,创建另一个 Go 文件,测试这个平方根功能,代码如下:

package example

import (
  "testing"
)

func TestSquare(t *testing.T) {
  if v := Square(4); v != 16 {
    t.Error("expected", 16, "got", v)
  }
}

您可以通过进入目录并简单地输入go test -v来运行此测试。如预期的那样,给定我们的测试输入,这是通过的:

在 Go 中引入测试

这个例子显然是微不足道的,但为了演示如果您的测试失败会看到什么,让我们修改我们的Square()函数如下:

func Square(x int) int {
  y := x
  return y
}

再次运行测试后,我们得到:

在 Go 中引入测试

对命令行应用程序进行命令行测试与与 Web 交互是不同的。我们的应用程序包括标准的 HTML 端点以及 API 端点;测试它需要比我们之前使用的方法更多的细微差别。

幸运的是,Go 还包括一个专门用于测试 HTTP 应用程序结果的包,net/http/httptest

与前面的例子不同,httptest让我们评估从我们的各个函数返回的一些元数据,这些函数在 HTTP 版本的单元测试中充当处理程序。

那么,让我们来看一种简单的评估我们的 HTTP 服务器可能产生的内容的方法,通过生成一个快速端点,它简单地返回一年中的日期。

首先,我们将向我们的 API 添加另一个端点。让我们将这个处理程序示例分离成自己的应用程序,以便隔离其影响:

package main

import (
  "fmt"
  "net/http"
  "time"
)

func testHandler(w http.ResponseWriter, r *http.Request) {
  t := time.Now()
  fmt.Fprintln(w, t.YearDay())
}

func main() {
  http.HandleFunc("/test", testHandler)
  http.ListenAndServe(":8080", nil)
}

这将简单地通过 HTTP 端点/test返回一年中的日期(1-366)。那么我们如何测试这个呢?

首先,我们需要一个专门用于测试的新文件。当涉及到需要达到多少测试覆盖率时,这通常对开发人员或组织很有帮助,理想情况下,我们希望覆盖每个端点和方法,以获得相当全面的覆盖。在这个例子中,我们将确保我们的一个 API 端点返回一个正确的状态码,以及一个GET请求返回我们在开发中期望看到的内容:

package main

import (
  "io/ioutil"
  "net/http"
  "net/http/httptest"
  "testing"
)

func TestHandler(t *testing.T) {
  res := httptest.NewRecorder()
  path := "http://localhost:4000/test"
  o, err := http.NewRequest("GET", path, nil)
  http.DefaultServeMux.ServeHTTP(res, req)
  response, err := ioutil.ReadAll(res.Body)
  if string(response) != "115" || err != nil {
    t.Errorf("Expected [], got %s", string(response))
  }
}

现在,我们可以通过确保我们的端点通过(200)或失败(404)并返回我们期望的文本来在我们的实际应用程序中实现这一点。我们还可以自动添加新内容并对其进行验证,通过这些示例后,您应该有能力承担这一任务。

鉴于我们有一个 hello-world 端点,让我们编写一个快速测试,验证我们从端点得到的响应,并看看我们如何在test.go文件中获得一个正确的响应:

package main

import (
  "net/http"
  "net/http/httptest"
  "testing"
)

func TestHelloWorld(t *testing.T) {

  req, err := http.NewRequest("GET", "/page/hello-world", nil)
  if err != nil {
    t.Fatal("Creating 'GET /page/hello-world' request failed!")
  }
  rec := httptest.NewRecorder()
  Router().ServeHTTP(rec, req)
}

在这里,我们可以测试我们是否得到了我们期望的状态码,尽管它很简单,但这并不一定是一个微不足道的测试。实际上,我们可能还会创建一个应该失败的测试,以及另一个检查我们是否得到了我们期望的 HTTP 响应的测试。但这为更复杂的测试套件,比如健全性测试或部署测试,奠定了基础。例如,我们可能会生成仅供开发使用的页面,从模板生成 HTML 内容,并检查输出以确保我们的页面访问和模板解析按照我们的期望工作。

注意

golang.org/pkg/net/http/httptest/上阅读有关使用 http 和 httptest 包进行测试的更多信息

总结

简单地构建一个应用程序甚至不到一半的战斗,作为开发人员进行用户测试引入了测试策略中的巨大差距。测试覆盖率是一种关键武器,当我们发现错误之前,它可以帮助我们找到错误。

幸运的是,Go 提供了实现自动化单元测试所需的所有工具,以及支持它所需的日志记录架构。

在本章中,我们看了日志记录器和测试选项。通过为不同的消息生成多个记录器,我们能够将由内部应用程序故障引起的警告与错误分开。

然后,我们使用测试和httptest包来进行单元测试,自动检查我们的应用程序并通过测试潜在的破坏性更改来保持其当前状态。

在第九章安全中,我们将更彻底地研究实施安全性;从更好的 TLS/SSL 到防止注入和中间人和跨站点请求伪造攻击。

第九章:安全

在上一章中,我们看了如何存储应用程序生成的信息,以及向我们的套件添加单元测试,以确保应用程序的行为符合我们的期望,并在不符合期望时诊断错误。

在那一章中,我们没有为我们的博客应用程序添加太多功能;所以现在让我们回到那里。我们还将把本章的一些日志记录和测试功能扩展到我们的新功能中。

到目前为止,我们一直在开发一个 Web 应用程序的框架,该应用程序实现了博客数据和用户提交的评论的一些基本输入和输出。就像任何公共网络服务器一样,我们的服务器也容易受到各种攻击。

这些问题并不是 Go 独有的,但我们有一系列工具可以实施最佳实践,并扩展我们的服务器和应用程序以减轻常见问题。

在构建一个公开访问的网络应用程序时,一个快速简便的常见攻击向量参考指南是开放网络应用程序安全项目OWASP),它提供了一个定期更新的最关键的安全问题清单。OWASP 可以在www.owasp.org/找到。其十大项目编制了最常见和/或最关键的网络安全问题。虽然它不是一个全面的清单,并且在更新之间容易过时,但在编制潜在攻击向量时仍然是一个很好的起点。

多年来,一些最普遍的攻击向量不幸地一直存在;尽管安全专家一直在大声疾呼其严重性。有些攻击向量在 Web 上的曝光迅速减少(比如注入),但它们仍然会长期存在,甚至在遗留应用程序逐渐淘汰的情况下。

以下是 2013 年末最近的十大漏洞中的四个概述,其中一些我们将在本章中讨论:

  • 注入:任何未经信任的数据有机会在不转义的情况下被处理,从而允许数据操纵或访问数据或系统,通常不会公开暴露。最常见的是 SQL 注入。

  • 破坏的身份验证:这是由于加密算法不佳,密码要求不严格,会话劫持是可行的。

  • XSS:跨站点脚本允许攻击者通过在另一个站点上注入和执行脚本来访问敏感信息。

  • 跨站点请求伪造:与 XSS 不同,这允许攻击向量来自另一个站点,但它会欺骗用户在另一个站点上完成某些操作。

虽然其他攻击向量从相关到不相关都有,但值得评估我们没有涵盖的攻击向量,看看其他可能存在利用的地方。

首先,我们将看一下使用 Go 在应用程序中实现和强制使用 HTTPS 的最佳方法。

到处使用 HTTPS - 实施 TLS

在第五章中,前端与 RESTful API 的集成,我们讨论了创建自签名证书并在我们的应用程序中使用 HTTPS/TLS。但让我们快速回顾一下为什么这对于我们的应用程序和 Web 的整体安全性如此重要。

首先,简单的 HTTP 通常不会为流量提供加密,特别是对于重要的请求头值,如 cookie 和查询参数。我们在这里说通常是因为 RFC 2817 确实指定了在 HTTP 协议上使用 TLS 的系统,但几乎没有使用。最重要的是,它不会给用户提供必要的明显反馈,以注册网站的安全性。

其次,HTTP 流量容易受到中间人攻击。

另一个副作用是:Google(也许其他搜索引擎)开始偏爱 HTTPS 流量而不是不太安全的对应物。

直到相对最近,HTTPS 主要被限制在电子商务应用程序中,但利用 HTTP 的不足的攻击的可用性和普遍性的增加——如侧面攻击和中间人攻击——开始将 Web 的大部分推向 HTTPS。

您可能已经听说过由此产生的运动和座右铭HTTPS 无处不在,这也渗透到了强制网站使用实施最安全可用协议的浏览器插件中。

我们可以做的最简单的事情之一是扩展第六章中的工作,会话和 Cookie是要求所有流量通过 HTTPS 重新路由 HTTP 流量。还有其他方法可以做到这一点,正如我们将在本章末看到的那样,但它可以相当简单地实现。

首先,我们将实现一个goroutine来同时为我们的 HTTPS 和 HTTP 流量提供服务,分别使用tls.ListenAndServehttp.ListenAndServe

  var wg sync.WaitGroup
  wg.Add(1)
  go func() {
    http.ListenAndServe(PORT, http.HandlerFunc(redirectNonSecure))
    wg.Done()
  }()
  wg.Add(1)
  go func() {
    http.ListenAndServeTLS(SECUREPORT, "cert.pem", "key.pem", routes)
    wg.Done()
  }()

  wg.Wait()

这假设我们将一个SECUREPORT常量设置为":443",就像我们将PORT设置为":8080"一样,或者您选择的任何其他端口。没有什么可以阻止您在 HTTPS 上使用另一个端口;这里的好处是浏览器默认将https://请求重定向到端口443,就像它将 HTTP 请求重定向到端口80,有时会回退到端口8080一样。请记住,在许多情况下,您需要以 sudo 或管理员身份运行以使用低于1000的端口启动。

您会注意到在前面的示例中,我们使用了一个专门用于 HTTP 流量的处理程序redirectNonSecure。这实现了一个非常基本的目的,正如您在这里所看到的:

func redirectNonSecure(w http.ResponseWriter, r *http.Request) {
  log.Println("Non-secure request initiated, redirecting.")
  redirectURL := "https://" + serverName + r.RequestURI
  http.Redirect(w, r, redirectURL, http.StatusMovedPermanently)
}

在这里,serverName被明确设置。

从请求中获取域名或服务器名称可能存在一些潜在问题,因此最好在可能的情况下明确设置这一点。

在这里添加的另一个非常有用的部分是HTTP 严格传输安全HSTS),这种方法与兼容的消费者结合使用,旨在减轻协议降级攻击(如强制/重定向到 HTTP)。

这只是一个 HTTPS 标头,当被使用时,将自动处理并强制执行https://请求,以替代使用较不安全的协议。

OWASP 建议为此标头使用以下设置:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

请注意,此标头在 HTTP 上被忽略。

防止 SQL 注入

尽管注入仍然是当今 Web 上最大的攻击向量之一,但大多数语言都有简单而优雅的方法来通过准备好的语句和经过消毒的输入来防止或大大减轻留下易受攻击的 SQL 注入的可能性。

但即使使用提供这些服务的语言,仍然有机会留下漏洞的空间。

无论是在 Web 上还是在服务器上或独立的可执行文件中,任何软件开发的核心原则都是不要相信从外部(有时是内部)获取的输入数据。

这个原则对于任何语言都是正确的,尽管有些语言通过准备好的查询或抽象(如对象关系映射(ORM))使与数据库的交互更安全和/或更容易。

从本质上讲,Go 没有任何 ORM,因为从技术上讲,甚至没有一个 O(对象)(Go 不是纯粹的面向对象的),很难在这个领域复制许多面向对象语言所拥有的东西。

然而,有许多第三方库试图通过接口和结构来强制 ORM,但是很多这些都可以很容易地手工编写,因为您可能比任何库更了解您的模式和数据结构,即使是在抽象的意义上。

然而,对于 SQL,Go 具有几乎支持 SQL 的任何数据库的强大和一致的接口。

为了展示 SQL 注入漏洞如何在 Go 应用程序中简单地出现,我们将比较原始的 SQL 查询和准备好的语句。

当我们从数据库中选择页面时,我们使用以下查询:

err := database.QueryRow("SELECT page_title,page_content,page_date FROM pages WHERE page_guid="+requestGUID, pageGUID).Scan(&thisPage.Title, &thisPage.Content, &thisPage.Date)

这向我们展示了如何通过接受未经处理的用户输入来打开您的应用程序以进行注入漏洞。在这种情况下,任何请求类似于

/page/foo;delete from pages理论上可以迅速清空你的pages表。

我们在路由器级别有一些初步的消毒工作,这在这方面有所帮助。由于我们的 mux 路由只包括字母数字字符,我们可以避免一些需要被转义的字符被路由到我们的ServePageAPIPage处理程序中:

  routes.HandleFunc("/page/{guid:[0-9a-zA\\-]+}", ServePage)
  routes.HandleFunc("/api/page/{id:[\\w\\d\\-]+}", APIPage).
    Methods("GET").
    Schemes("https")

然而,这并不是一个绝对可靠的方法。前面的查询接受了原始输入并将其附加到 SQL 查询中,但是我们可以在 Go 中使用参数化、准备好的查询来更好地处理这个问题。以下是我们最终使用的内容:

  err := database.QueryRow("SELECT page_title,page_content,page_date FROM pages WHERE page_guid=?", pageGUID).Scan(&thisPage.Title, &thisPage.Content, &thisPage.Date)
  if err != nil {
    http.Error(w, http.StatusText(404), http.StatusNotFound)
    log.Println("Couldn't get page!")
    return
  }

这种方法在 Go 的任何查询接口中都可以使用,它使用?来代替值作为可变参数的查询:

res, err := db.Exec("INSERT INTO table SET field=?, field2=?", value1, value2)
rows, err := db.Query("SELECT * FROM table WHERE field2=?",value2)
statement, err := db.Prepare("SELECT * FROM table WHERE field2=?",value2)
row, err := db.QueryRow("SELECT * FROM table WHERE field=?",value1)

虽然所有这些在 SQL 世界中有着略微不同的目的,但它们都以相同的方式实现了准备好的查询。

防止跨站脚本攻击

我们简要提到了跨站脚本攻击和限制它作为一种向量,这使得您的应用程序对所有用户更安全,而不受少数不良分子的影响。问题的关键在于一个用户能够添加危险内容,并且这些内容将被显示给用户,而不会清除使其危险的方面。

最终你在这里有一个选择——在输入时对数据进行消毒,或者在呈现给其他用户时对数据进行消毒。

换句话说,如果有人产生了一个包含script标签的评论文本块,你必须小心阻止其他用户的浏览器渲染它。你可以选择保存原始 HTML,然后在输出渲染时剥离所有或只剥离敏感标签。或者,你可以在输入时对其进行编码。

没有标准答案;然而,您可能会发现遵循前一种方法有价值,即接受任何内容并对输出进行消毒。

这两种方法都存在风险,但这种方法允许您保留消息的原始意图,如果您选择在以后改变您的方法。缺点是当然你可能会意外地允许一些原始数据通过未经处理的:

template.HTMLEscapeString(string)
template.JSEscapeString(inputData)

第一个函数将获取数据并删除 HTML 的格式,以产生用户输入的消息的纯文本版本。

第二个函数将做类似的事情,但是针对 JavaScript 特定的值。您可以使用类似以下示例的快速脚本很容易地测试这些功能:

package main

import (
  "fmt"
  "github.com/gorilla/mux"
  "html/template"
  "net/http"
)

func HTMLHandler(w http.ResponseWriter, r *http.Request) {
  input := r.URL.Query().Get("input")
  fmt.Fprintln(w, input)
}

func HTMLHandlerSafe(w http.ResponseWriter, r *http.Request) {
  input := r.URL.Query().Get("input")
  input = template.HTMLEscapeString(input)
  fmt.Fprintln(w, input)
}

func JSHandler(w http.ResponseWriter, r *http.Request) {
  input := r.URL.Query().Get("input")
  fmt.Fprintln(w, input)
}

func JSHandlerSafe(w http.ResponseWriter, r *http.Request) {
  input := r.URL.Query().Get("input")
  input = template.JSEscapeString(input)
  fmt.Fprintln(w, input)
}

func main() {
  router := mux.NewRouter()
  router.HandleFunc("/html", HTMLHandler)
  router.HandleFunc("/js", JSHandler)
  router.HandleFunc("/html_safe", HTMLHandlerSafe)
  router.HandleFunc("/js_safe", JSHandlerSafe)
  http.ListenAndServe(":8080", router)
}

如果我们从不安全的端点请求,我们将得到我们的数据返回:

防止跨站脚本攻击

将此与/html_safe进行比较,后者会自动转义输入,您可以在其中看到内容以其经过处理的形式:

防止跨站脚本攻击

这一切都不是绝对可靠的,但如果您选择按用户提交的方式接受输入数据,您将希望寻找一些方法来在结果显示时传递这些信息,而不会让其他用户受到跨站脚本攻击的威胁。

防止跨站请求伪造(CSRF)

虽然我们在这本书中不会深入讨论 CSRF,但总的来说,它是一系列恶意行为者可以使用的方法,以欺骗用户在另一个站点上执行不需要的操作。

由于它至少在方法上与跨站脚本攻击有关,现在谈论它是值得的。

这最明显的地方是在表单中;把它想象成一个允许你发送推文的 Twitter 表单。如果第三方强制代表用户在没有他们同意的情况下请求,想象一下类似这样的情况:

<h1>Post to our guestbook (and not twitter, we swear!)</h1>
  <form action="https://www.twitter.com/tweet" method="POST">
  <input type="text" placeholder="Your Name" />
  <textarea placeholder="Your Message"></textarea>
  <input type="hidden" name="tweet_message" value="Make sure to check out this awesome, malicious site and post on their guestbook" />
  <input type="submit" value="Post ONLY to our guestbook" />
</form>

没有任何保护,任何发布到这个留言簿的人都会无意中帮助传播垃圾邮件到这次攻击中。

显然,Twitter 是一个成熟的应用程序,早就处理了这个问题,但你可以得到一个大致的想法。你可能会认为限制引用者会解决这个问题,但这也可以被欺骗。

最简单的解决方案是为表单提交生成安全令牌,这可以防止其他网站能够构造有效的请求。

当然,我们的老朋友 Gorilla 在这方面也提供了一些有用的工具。最相关的是csrf包,其中包括用于生成请求令牌的工具,以及预先制作的表单字段,如果违反或忽略将产生403

生成令牌的最简单方法是将其作为您的处理程序将用于生成模板的接口的一部分,就像我们的ApplicationAuthenticate()处理程序一样:

    Authorize.TemplateTag = csrf.TemplateField(r)
    t.ExecuteTemplate(w, "signup_form.tmpl", Authorize)

此时,我们需要在我们的模板中公开{{.csrfField}}。要进行验证,我们需要将其链接到我们的ListenAndServe调用:

    http.ListenAndServe(PORT, csrf.Protect([]byte("32-byte-long-auth-key"))(r))

保护 cookie

我们之前研究过的攻击向量之一是会话劫持,我们在 HTTP 与 HTTPS 的背景下讨论了这个问题,以及其他人如何看到网站身份关键信息的方式。

对于许多非 HTTPS 应用程序来说,在公共网络上找到这些数据非常简单,这些应用程序利用会话作为确定性 ID。事实上,一些大型应用程序允许会话 ID 在 URL 中传递。

在我们的应用程序中,我们使用了 Gorilla 的securecookie包,它不依赖于 HTTPS,因为 cookie 值本身是使用 HMAC 哈希编码和验证的。

生成密钥本身可以非常简单,就像我们的应用程序和securecookie文档中所演示的那样:

var hashKey = []byte("secret hash key")
var blockKey = []byte("secret-er block key")
var secureKey = securecookie.New(hashKey, blockKey)

注意

有关 Gorilla 的securecookie包的更多信息,请参见:www.gorillatoolkit.org/pkg/securecookie

目前,我们应用程序的服务器首先使用 HTTPS 和安全 cookie,这意味着我们可能对在 cookie 本身中存储和识别数据感到更有信心。我们大部分的创建/更新/删除操作都是在 API 级别进行的,这仍然实现了会话检查,以确保我们的用户已经通过身份验证。

使用 secure 中间件

在本章中,快速实施一些安全修复(和其他内容)的更有帮助的软件包之一是 Cory Jacobsen 的一个软件包,贴心地称为secure

Secure 提供了许多有用的实用程序,例如 SSL 重定向(正如我们在本章中实现的那样),允许的主机,HSTS 选项和 X-Frame-Options 的简写,用于防止您的网站被加载到框架中。

这其中涵盖了我们在本章中研究的一些主题,并且基本上是最佳实践。作为一个中间件,secure 可以是一种快速覆盖这些最佳实践的简单方法。

注意

要获取secure,只需在github.com/unrolled/secure上获取它。

摘要

虽然本章并不是对 Web 安全问题和解决方案的全面审查,但我们希望解决一些由 OWASP 和其他人提出的最大和最常见的向量之一。

在本章中,我们涵盖或审查了防止这些问题渗入您的应用程序的最佳实践。

在第十章中,缓存、代理和性能改进,我们将讨论如何使您的应用程序在流量增加的同时保持可扩展性和速度。

第十章:缓存、代理和性能改进

我们已经涵盖了大量关于 Web 应用程序的内容,您需要连接数据源,渲染模板,利用 SSL/TLS,为单页应用构建 API 等等。

尽管基本原理很清楚,但您可能会发现,根据这些准则构建的应用程序投入生产后可能会迅速出现一些问题,特别是在负载较重的情况下。

在上一章中,我们通过解决 Web 应用程序中一些最常见的安全问题,实施了一些最佳安全实践。让我们在本章中也做同样的事情,通过应用最佳实践来解决一些性能和速度方面的最大问题。

为了做到这一点,我们将查看管道中一些最常见的瓶颈,并看看我们如何减少这些瓶颈,使我们的应用在生产中尽可能高效。

具体来说,我们将确定这些瓶颈,然后寻找反向代理和负载平衡,将缓存实施到我们的应用程序中,利用SPDY,以及了解如何使用托管云服务来通过减少到达我们应用程序的请求数来增强我们的速度计划。

通过本章的结束,我们希望能够提供工具,帮助任何 Go 应用程序充分利用我们的环境,发挥最佳性能。

在本章中,我们将涵盖以下主题:

  • 识别瓶颈

  • 实施反向代理

  • 实施缓存策略

  • 实施 HTTP/2

识别瓶颈

为了简化事情,对于您的应用程序,有两种类型的瓶颈,一种是由开发和编程缺陷引起的,另一种是由底层软件或基础设施限制引起的。

对于前者的答案很简单,找出糟糕的设计并修复它。在糟糕的代码周围打补丁可能会隐藏安全漏洞,或者延迟更大的性能问题被及时发现。

有时,这些问题源于缺乏压力测试;在本地性能良好的代码并不保证在不施加人为负载的情况下能够扩展。缺乏这种测试有时会导致生产中出现意外的停机时间。

然而,忽略糟糕的代码作为问题的根源,让我们来看看一些其他常见的问题:

  • 磁盘 I/O

  • 数据库访问

  • 高内存/CPU 使用率

  • 缺乏并发支持

当然还有数百种问题,例如网络问题、某些应用程序中的垃圾收集开销、不压缩有效载荷/标头、非数据库死锁等等。

高内存和 CPU 使用率往往是结果而不是原因,但许多其他原因是特定于某些语言或环境的。

对于我们的应用程序,数据库层可能是一个薄弱点。由于我们没有进行缓存,每个请求都会多次命中数据库。ACID 兼容的数据库(如 MySQL/PostgreSQL)因负载而崩溃而臭名昭著,而对于不那么严格的键/值存储和 NoSQL 解决方案来说,在相同硬件上不会有问题。数据库一致性的成本对此有很大的影响,这是选择传统关系数据库的权衡之一。

实施反向代理

正如我们现在所知道的,与许多语言不同,Go 配备了完整和成熟的 Web 服务器平台,其中包括net/http

最近,一些其他语言已经配备了用于本地开发的小型玩具服务器,但它们并不适用于生产。事实上,许多明确警告不要这样做。一些常见的是 Ruby 的 WEBrick,Python 的 SimpleHTTPServer 和 PHP 的-S。其中大多数都存在并发问题,导致它们无法成为生产中的可行选择。

Go 的net/http是不同的;默认情况下,它可以轻松处理这些问题。显然,这在很大程度上取决于底层硬件,但在紧要关头,您可以成功地原生使用它。许多网站正在使用net/http来提供大量的流量。

但即使是强大的基础 web 服务器也有一些固有的局限性:

  • 它们缺乏故障转移或分布式选项

  • 它们在上游具有有限的缓存选项

  • 它们不能轻易负载平衡传入的流量

  • 它们不能轻易集中日志记录

这就是反向代理的作用。反向代理代表一个或多个服务器接受所有传入的流量,并通过应用前述(和其他)选项和优势来分发它。另一个例子是 URL 重写,这更适用于可能没有内置路由和 URL 重写的基础服务。

在你的 web 服务器(如 Go)前放置一个简单的反向代理有两个重要的优势:缓存选项和无需访问基础应用程序即可提供静态内容的能力。

反向代理站点的最受欢迎的选项之一是 Nginx(发音为 Engine-X)。虽然 Nginx 本身是一个 web 服务器,但它早期因轻量级和并发性而广受赞誉。它很快成为了前端应用程序在其他较慢或较重的 web 服务器(如 Apache)前的首要防御。近年来情况有所改变,因为 Apache 在并发选项和利用替代事件和线程的方面已经赶上了。以下是一个反向代理 Nginx 配置的示例:

server {
  listen 80;
  root /var/;
  index index.html index.htm;

  large_client_header_buffers 4 16k;

  # Make site accessible from http://localhost/
  server_name localhost

  location / {
    proxy_pass http://localhost:8080;
    proxy_redirect off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }

}

在这种情况下,请确保您的 Go 应用程序正在端口8080上运行,并重新启动 Nginx。对http//:port 80的请求将通过 Nginx 作为反向代理传递到您的应用程序。您可以通过查看标头或在浏览器的开发人员工具中进行检查。

实施反向代理

请记住,我们希望尽可能支持 TLS/SSL,但在这里提供反向代理只是改变端口的问题。我们的应用程序应该在另一个端口上运行,可能是一个附近的端口,以便清晰,然后我们的反向代理将在端口443上运行。

提醒一下,任何端口都可以用于 HTTP 或 HTTPS。但是,当未指定端口时,浏览器会自动将其定向到443以进行安全连接。只需修改nginx.conf和我们应用程序的常量即可。

server {
  listen 443;
  location / {
     proxy_pass http://localhost:444;

让我们看看如何修改我们的应用程序,如下面的代码所示:

const (
  DBHost  = "127.0.0.1"
  DBPort  = ":3306"
  DBUser  = "root"
  DBPass  = ""
  DBDbase = "cms"
  PORT    = ":444"
)

这使我们能够通过前端代理传递 SSL 请求。

提示

在许多 Linux 发行版中,您需要 SUDO 或 root 权限才能使用 1000 以下的端口。

实施缓存策略

有许多方法可以决定何时创建和何时过期缓存项,因此我们将看一种更简单更快的方法。但是,如果您有兴趣进一步开发,您可能会考虑其他缓存策略;其中一些可以提供资源使用效率和性能。

使用最近最少使用

在分配的资源(磁盘空间、内存)内保持缓存稳定性的一种常见策略是最近最少使用LRU)系统用于缓存过期。在这种模型中,利用有关最后缓存访问时间(创建或更新)的信息,缓存管理系统可以移除列表中最老的条目。

这对性能有很多好处。首先,如果我们假设最近创建/更新的缓存条目是当前最受欢迎的条目,我们可以更快地移除那些没有被访问的条目;以便为现有和可能更频繁访问的新资源释放资源。

这是一个公平的假设,假设用于缓存的分配资源并不是微不足道的。如果你有大量的文件缓存或大量的内存用于内存缓存,那么最老的条目,就最后一次访问而言,很可能并没有被频繁地使用。

还有一个相关且更精细的策略叫做最不常用,它严格维护缓存条目本身的使用统计。这不仅消除了对缓存数据的假设,还增加了统计维护的开销。

在这里的演示中,我们将使用 LRU。

通过文件缓存

我们的第一个方法可能最好描述为一个经典的缓存方法,但并非没有问题。我们将利用磁盘为各个端点(API 和 Web)创建基于文件的缓存。

那么与在文件系统中缓存相关的问题是什么呢?嗯,在本章中我们提到过,磁盘可能会引入自己的瓶颈。在这里,我们做了一个权衡,以保护对数据库的访问,而不是可能遇到磁盘 I/O 的其他问题。

如果我们的缓存目录变得非常大,这将变得特别复杂。在这一点上,我们将引入更多的文件访问问题。

另一个缺点是我们必须管理我们的缓存;因为文件系统不是短暂的,我们的可用空间是有限的。我们需要手动过期缓存文件。这引入了另一轮维护和另一个故障点。

尽管如此,这仍然是一个有用的练习,如果你愿意承担一些潜在的问题,它仍然可以被利用:

package cache

const (
  Location "/var/cache/"
)

type CacheItem struct {
  TTL int
  Key string
}

func newCache(endpoint string, params ...[]string) {

}

func (c CacheItem) Get() (bool, string) {
  return true, ""
}

func (c CacheItem) Set() bool {

}

func (c CacheItem) Clear() bool {

}

这为我们做了一些准备,比如基于端点和查询参数创建唯一的键,检查缓存文件的存在,如果不存在,按照正常情况获取请求的数据。

在我们的应用程序中,我们可以简单地实现这一点。让我们在/page端点前面放一个文件缓存层,如下所示:

func ServePage(w http.ResponseWriter, r *http.Request) {
  vars := mux.Vars(r)
  pageGUID := vars["guid"]
  thisPage := Page{}
  cached := cache.newCache("page",pageGUID)

前面的代码创建了一个新的CacheItem。我们利用可变参数params来生成一个引用文件名:

func newCache(endpoint string, params ...[]string) CacheItem {
cacheName := endponit + "_" + strings.Join(params, "_")
c := CacheItem{}
return c
}

当我们有一个CacheItem对象时,我们可以使用Get()方法进行检查,如果缓存仍然有效,它将返回true,否则该方法将返回false。我们利用文件系统信息来确定缓存项是否在其有效的存活时间内:

  valid, cachedData := cached.Get()
  if valid {
    thisPage.Content = cachedData
    fmt.Fprintln(w, thisPage)
    return
  }

如果我们通过Get()方法找到一个现有的项目,我们将检查确保它在设置的TTL内已经更新:

func (c CacheItem) Get() (bool, string) {

  stats, err := os.Stat(c.Key)
  if err != nil {
    return false, ""
  }

  age := time.Nanoseconds() - stats.ModTime()
  if age <= c.TTL {
    cache, _ := ioutil.ReadFile(c.Key)
    return true, cache
  } else {
    return false, ""
  }
}

如果代码有效并且在 TTL 内,我们将返回true,并且文件的主体将被更新。否则,我们将允许页面检索和生成的通过。在这之后我们可以设置缓存数据:

  t, _ := template.ParseFiles("templates/blog.html")
  cached.Set(t, thisPage)
  t.Execute(w, thisPage)

然后我们将保存这个为:

func (c CacheItem) Set(data []byte) bool {
  err := ioutil.WriteFile(c.Key, data, 0644)
}

这个函数有效地写入了我们的缓存文件的值。

我们现在有一个工作系统,它将接受各个端点和无数的查询参数,并创建一个基于文件的缓存库,最终防止了对数据库的不必要查询,如果数据没有改变的话。

在实践中,我们希望将这个限制在大部分基于读的页面上,并避免在任何写或更新端点上盲目地进行缓存,特别是在我们的 API 上。

内存中的缓存

正如文件系统缓存因存储价格暴跌而变得更加可接受,我们在 RAM 中也看到了类似的变化,紧随硬存储之后。这里的巨大优势是速度,内存中的缓存因为显而易见的原因可以非常快。

Memcache 及其分布式的兄弟 Memcached,是为了为 LiveJournal 和Brad Fitzpatrick的原型社交网络创建一个轻量级和超快的缓存而演变而来。如果这个名字听起来很熟悉,那是因为 Brad 现在在谷歌工作,并且是 Go 语言本身的重要贡献者。

作为我们文件缓存系统的一个替代方案,Memcached 将起到类似的作用。唯一的主要变化是我们的键查找,它将针对工作内存而不是进行文件检查。

注意

使用 Go 语言与 memcache 一起使用,访问Brad Fitz的网站 godoc.org/github.com/bradfitz/gomemcache/memcache,并使用go get命令进行安装。

实现 HTTP/2

谷歌在过去五年中投资的更有趣、也许更高尚的举措之一是专注于使网络更快。通过诸如 PageSpeed 之类的工具,谷歌试图推动整个网络变得更快、更精简、更用户友好。

毫无疑问,这项举措并非完全无私。谷歌建立了他们的业务在广泛的网络搜索上,爬虫始终受制于它们爬取的页面速度。网页加载得越快,爬取就越快、更全面;因此,需要的时间和基础设施就越少,所需的资金也就越少。这里的底线是,更快的网络对谷歌有利,就像对创建和查看网站的人一样。

但这是互惠的。如果网站更快地遵守谷歌的偏好,每个人都会从更快的网络中受益。

这将我们带到了 HTTP/2,这是 HTTP 的一个版本,取代了 1999 年引入的 1.1 版本,也是大部分网络的事实标准方法。HTTP/2 还包含并实现了许多 SPDY,这是谷歌开发并通过 Chrome 支持的临时协议。

HTTP/2 和 SPDY 引入了一系列优化,包括头部压缩和非阻塞和多路复用的请求处理。

如果您使用的是 1.6 版本,net/http默认支持 HTTP/2。如果您使用的是 1.5 或更早版本,则可以使用实验性包。

注意

要在 Go 版本 1.6 之前使用 HTTP/2,请从 godoc.org/golang.org/x/net/http2 获取。

总结

在本章中,我们专注于通过减少对底层应用程序瓶颈的影响来增加应用程序整体性能的快速获胜策略,即我们的数据库。

我们已经在文件级别实施了缓存,并描述了如何将其转化为基于内存的缓存系统。我们研究了 SPDY 和 HTTP/2,它现在已成为默认的 Go net/http包的一部分。

这绝不代表我们可能需要生成高性能代码的所有优化,但涉及了一些最常见的瓶颈,这些瓶颈可能会导致在开发中表现良好的应用在生产环境中在重负载下表现不佳。

这就是我们结束这本书的地方;希望大家都享受这段旅程!

标签:Web,http,err,应用程序,手册,Go,我们,page
From: https://www.cnblogs.com/apachecn/p/18172874

相关文章

  • Go-编程实用手册(全)
    Go编程实用手册(全)原文:zh.annas-archive.org/md5/62FC08F1461495F0676A88A03EA0ECBA译者:飞龙协议:CCBY-NC-SA4.0前言本书将通过解决开发人员常见的问题来帮助您学习Go编程语言。您将首先安装Go二进制文件,并熟悉开发应用程序所需的工具。然后,您将操作字符串,并将它们用......
  • Web Application扫描工具-IBM AppScan
    AppScan简介原名watchireAppscan,2007年被IBM收购,成为IBMAppscan。IBMAppScan是一款非常好用且功能强大的Web应用安全测试工具,曾以WatchfireAppScan的名称享誉业界,RationalAppScan可自动化Web应用的安全漏洞评估工作,能扫描和检测所有常见的Web应用安全漏洞,例如SQL注入(SQL-inj......
  • 【转载】Godot-GDExtension C++ 环境搭建 (Docker+MinGW/跨平台)
    本文原链接见 Godot-GDExtensionC++环境搭建(Docker+MinGW/跨平台)|Convexwf'sKirakiraBlog。Godot在4.X之后推出了GDExtension,通过第三方绑定扩展功能,目前官方支持的语言只有C++。通过使用GDExtensionC++编写扩展插件,可以作为库文件在Godot中交互使用。GDExten......
  • web日志取证分析工具
    工具简介此工具可从单一可疑线索作为调查起点,遍历所有可疑URL(CGI)和来源IP。下载地址https://security.tencent.com/index.php/opensource/detail/15使用方法PerlLogForensics.pl-filelogfile-websvr(nginx|httpd)[-ipip(ip,ip,ip)|-urlurl(url,url,url)]File:日志......
  • Web漏洞扫描器-Xray
    下载地址:https://github.com/chaitin/xray/releases使用环境:Windows、Linux、macOS皆可工具说明:Xray扫描器是一款功能强大的安全评估工具。支持主动、被动多种扫描方式,支持常见Web漏洞的自动化检测,可以灵活定义POC,功能丰富,调用简单,支持多种操作系统。官方使用文档:https://docs......
  • Django - 模型与数据库
    目录模型定义与数据迁移模型定义数据迁移模型定义与数据迁移模型定义ORM框架是一种程序技术,用于实现面向对面变成语言中不同类型系统的数据之间的转换。#index\model.pyfromdjango.dbimportmodels#Createyourmodelshere.classPersonInfo(models.Model):id......
  • Docker Build - ERROR: RUN go mod tidy
     =>ERROR[build13/14]RUNgomodtidy29.3s------>[build13/14]RUNgomodtidy:0.270go:findingmoduleforpackagegithub.......
  • 深入学习和理解Django视图层:处理请求与响应
    title:深入学习和理解Django视图层:处理请求与响应date:2024/5/417:47:55updated:2024/5/417:47:55categories:后端开发tags:Django请求处理响应生成模板渲染表单处理中间件异常处理第一章:Django框架概述1.1什么是Django?Django是一个高级的PythonWeb......
  • Golang:go-humanize将文件大小转换成Kb、Mb、Gb适合人类阅读的单位
    Golang:go-humanize将文件大小转换成Kb、Mb、Gb适合人类阅读的单位原创 吃个大西瓜 CodingBigTree 2024-05-0408:30 云南​最近去了昆明的教场中路体验了满屏蓝花楹,感受到了梦幻般的世界,随手拍了一张图,分享给大家,有时间可以去一趟,体验一次,顺便说一下,美女很多喔 ......
  • 2024-05-04:用go语言,给定一个起始索引为0的字符串s和一个整数k。 要进行分割操作,直到字
    2024-05-04:用go语言,给定一个起始索引为0的字符串s和一个整数k。要进行分割操作,直到字符串s为空:选择s的最长前缀,该前缀最多包含k个不同字符;删除该前缀,递增分割计数。如果有剩余字符,它们保持原来的顺序。在操作之前,可以修改字符串s中的一个字符为另一个小写英文字母。在最佳情......