密码必须用 bcrypt 哈希存储,注册用 bcrypt.GenerateFromPassword(…, bcrypt.DefaultCost),登录用 bcrypt.CompareHashAndPassword;jsON 请求须用 json.NewDecoder 解析;数据库连接需全局复用 *sql.DB 并配置连接池;session 应存数据库并设 httpOnly cookie。
用户密码不能明文存储,必须用 bcrypt 哈希
go 里没有内置密码哈希函数,直接用 == 比对明文密码是严重安全漏洞。必须用 golang.org/x/crypto/bcrypt,它自带盐值生成和验证逻辑,避免自己拼接 salt 或用 sha256 等不可逆但无盐的算法。
常见错误:用 bcrypt.GenerateFromPassword(pwd, 4) —— 这里的 cost=4 太低,容易被暴力破解;生产环境至少用 10(默认值),12 更稳妥。
-
bcrypt.GenerateFromPassword([]byte(user.Password), bcrypt.DefaultCost)用于注册时生成哈希 -
bcrypt.CompareHashAndPassword(hash, []byte(inputPwd))用于登录时校验,返回nil表示匹配成功 - 哈希结果是字符串(如
$2a$10$...),可直接存进数据库password_hash字段,长度建议设为VARCHAR(255)
HTTP 请求体解析要用 json.Decode,别依赖 FormValue
现代前端(vue/react)通常发 Content-Type: application/json 的 POST 请求,如果还用 r.FormValue("email"),会一直拿不到数据——因为 JSON 不在表单域里。
正确做法是定义结构体 + json.NewDecoder:
立即学习“go语言免费学习笔记(深入)”;
type RegisterReq struct { Email String `json:"email"` Password string `json:"password"` } func registerHandler(w http.ResponseWriter, r *http.Request) { var req RegisterReq if err := json.NewDecoder(r.Body).Decode(&req); err != nil { http.Error(w, "invalid json", http.StatusBadRequest) return } // 后续处理... }- 务必检查
Decode返回的err,空请求体、字段类型错、JSON 格式错都会触发 - 不要用
io.ReadAll+json.Unmarshal读整个 body——浪费内存,且r.Body只能读一次 - 结构体字段必须首字母大写(导出),否则
json包无法反射赋值
数据库连接要复用 *sql.DB,别在 handler 里反复 sql.Open
新手常把 db, _ := sql.Open("sqlite3", "./app.db") 写在每个 handler 开头,这会导致连接泄漏、句柄耗尽、并发下大量空闲连接。
正确方式是全局初始化一次,在 main() 中创建并配置:
var db *sql.DB func main() { var err error db, err = sql.Open("sqlite3", "./app.db") if err != nil { log.Fatal(err) } db.SetMaxOpenConns(10) db.SetMaxIdleConns(5) defer db.Close()
http.HandleFunc("/register", registerHandler) http.ListenAndServe(":8080", nil)}
-
sql.Open不是“打开连接”,只是创建连接池对象;真正建连发生在第一次db.Query或db.Exec - 必须调用
db.SetMaxOpenConns和db.SetMaxIdleConns控制资源,尤其 SQLite 在高并发下易报database is locked - handler 函数可通过闭包或传参访问
db,不要试图每次重连
登录状态靠 http.SetCookie + session ID,别用全局 map 存 Token
用 map[string]*User 存 session 是典型反模式:不跨进程、不持久、无过期、无并发安全,测试时看似能用,一上真实环境就丢状态。
简单可靠的做法是生成随机 session ID(用 crypto/rand),存进数据库,并通过 HTTP Cookie 返回给浏览器:
func loginHandler(w http.ResponseWriter, r *http.Request) { // ... 验证账号密码 sessionID, _ := generateSessionID() // 32 字节随机 hex _, err := db.Exec("INSERT INTO sessions (id, user_id, expires_at) VALUES (?, ?, ?)", sessionID, userID, time.Now().Add(24*time.Hour)) if err != nil { /* handle */ } http.SetCookie(w, &http.Cookie{ Name: "session_id", Value: sessionID, Expires: time.Now().Add(24 * time.Hour), HttpOnly: true, // 防 XSS SameSite: http.SameSiteLaxMode, })}
- Cookie 必须设
HttpOnly: true,否则前端 JS 能读取,失去保护意义 - 每次请求需从
r.Cookie("session_id")读值,查库确认是否有效且未过期 - SQLite 没有原生 TTL,所以得手动在查询时加
WHERE expires_at > datetime('now')
实际最难的部分不是写登录逻辑,而是让 session 在重启服务后依然有效、在多实例部署时不共享失败、在用户登出时真正清除服务端记录——这些都得靠外部存储(redis)或更严谨的数据库事务支撑,纯文件或内存方案撑不过压测。