WebSocket 连接中使用 Cookie 认证的正确实现方法

gorilla websocket 升级请求本质是标准 http 请求，可在 `upgrade` 前直接读取 `req.cookies()` 或解析 `req.header.get(“cookie”)` 完成会话校验；关键在于认证必须在调用 `upgrader.upgrade()` 之前完成。

websocket 连接建立前的握手阶段（HTTP GET 请求 + Upgrade: websocket 头）完全遵循 HTTP 协议规范，因此客户端发送的 Cookie（如 session_id）*必然存在于 `http.Request对象中**——只要浏览器或客户端正确设置了同源、未过期、且满足Secure/HttpOnly/SameSite策略的 Cookie。问题中req.Cookies()` 为空，通常并非 gorilla 或 WebSocket 协议限制，而是以下常见原因导致：

✅ 认证逻辑位置正确：务必在 upgrader.Upgrade() 调用前完成校验：

r.HandleFunc("/auth/connection", func(w http.ResponseWriter, r *http.Request) {     // ✅ 正确：在 Upgrade 前读取并验证 Cookie     cookie, err := r.Cookie("session_id")     if err != nil {         http.Error(w, "Unauthorized: missing or invalid session", http.StatusUnauthorized)         return     }      // 验证 session_id 是否有效（例如查 redis / DB）     if !isValidSession(cookie.Value) {         http.Error(w, "Unauthorized: invalid session", http.StatusUnauthorized)         return     }      // ✅ 此时才执行升级 —— 认证已通过     conn, err := upgrader.Upgrade(w, r, nil)     if err != nil {         log.Printf("WebSocket upgrade error: %v", err)         return     }     defer conn.Close()      // 启动消息处理循环...     for {         _, msg, err := conn.ReadMessage()         if err != nil {             log.Printf("Read error: %v", err)             break         }         if err := conn.WriteMessage(websocket.TextMessage, msg); err != nil {             log.Printf("Write error: %v", err)             break         }     } })

⚠️ 注意事项：

• 客户端 Cookie 发送要求：浏览器中 WebSocket 构造函数默认不发送 Cookie（与 fetch 不同）。需显式启用凭据：

  // 浏览器端 js 示例 const ws = new WebSocket("wss://example.com/auth/connection", {     credentials: 'include' // ✅ 必须设置！等价于 withCredentials: true });

• python 客户端（如 websocket-client）：需手动注入 Cookie 头：

  from websocket import create_connection headers = {"Cookie": "session_id=abc123"} ws = create_connection("ws://localhost:3000/auth/connection", header=headers)

• CORS 与跨域场景：若前端域名 ≠ 后端域名，服务端需配置 upgrader.CheckOrigin 并允许凭据：

  upgrader := websocket.Upgrader{     CheckOrigin: func(r *http.Request) bool {         // 允许特定来源（生产环境请勿用通配符）         origin := r.Header.Get("Origin")         return origin == "https://your-frontend.com" || origin == "http://localhost:8080"     },     // 其他配置... }

• 安全建议：避免在 WebSocket 连接建立后重复校验；所有敏感操作（如发消息、订阅频道）应基于已认证的连接上下文（如绑定 userID 到 conn 的自定义结构体）。

总结：WebSocket 认证不是特殊流程，而是标准 HTTP 认证的自然延伸。抓住「握手即 HTTP 请求」这一核心，将认证前置、严格校验、合理响应错误状态码，即可安全、可靠地实现基于 Cookie 的 WebSocket 授权。