如何在 Gorilla WebSocket 中正确实现 Cookie 认证

gorilla websocket 升级请求本质是标准 http 请求，可在 `upgrade` 前直接读取 `req.cookies()` 进行会话校验；常见“cookie 为空”问题多因客户端未携带 cookie 或服务端未正确配置跨域与凭证策略。

WebSocket 连接建立前的握手阶段（即 upgrader.Upgrade() 调用之前）完全遵循 HTTP/1.1 协议，服务器收到的是一个带 Upgrade: websocket 头的普通 HTTP 请求。这意味着：所有常规 HTTP 认证逻辑（如解析 Cookie、验证 session、检查 JWT 等）均可在此阶段安全执行——gorilla 的 Upgrader 尚未介入，*http.Request 对象完整可用。

因此，你的授权逻辑位置是正确的，但需确保以下关键点：

✅ 1. 客户端必须显式发送 Cookie

浏览器中，WebSocket 构造函数默认不发送 Cookie（即使同域）。必须启用 credentials 选项：

// 浏览器前端（需同源或已配置 CORS 支持 credentials） const ws = new WebSocket("wss://your-api.com/auth/connection", {   // 注意：此选项仅在浏览器中生效，且要求服务端响应 Access-Control-Allow-Credentials: true }); // 更推荐显式构造带 cookie 的请求（通过 fetch + header 模拟不现实），实际应依赖同源自动携带 // ✅ 正确做法：确保页面与 WebSocket endpoint 同源（如都为 https://example.com），则 Cookie 自动包含

python 客户端（如 websocket-client）需手动设置 Cookie：

import websocket  ws = websocket.WebSocket() # 手动注入 Cookie（模拟浏览器行为） headers = {"Cookie": "session_id=abc123; Path=/; HttpOnly"} ws.connect("ws://localhost:3000/auth/connection", header=headers)

✅ 2. 服务端需正确读取并校验 Cookie

修正你的 handler，加入健壮的 Cookie 解析与错误处理：

r.HandleFunc("/auth/connection", func(rw http.ResponseWriter, req *http.Request) {     // 1. 尝试获取 session_id Cookie     cookie, err := req.Cookie("session_id")     if err != nil {         http.Error(rw, "Missing or invalid session cookie", http.StatusUnauthorized)         return     }      // 2. 校验 session（例如查 redis / 数据库）     session, err := store.Get(req.Context(), cookie.Value)     if err != nil || !session.IsAuthenticated() {         http.Error(rw, "Invalid or expired session", http.StatusUnauthorized)         return     }      // 3. ✅ 此时才升级 WebSocket —— 认证已通过     conn, err := upgrader.Upgrade(rw, req, nil)     if err != nil {         log.Printf("WebSocket upgrade error: %v", err)         return     }     defer conn.Close()      // 4. 使用 session 用户信息初始化连接上下文（如绑定用户 ID）     userID := session.UserID     // 启动读写 goroutine... })

✅ 3. 跨域场景下必须配置 Credentials 支持

若前端部署在不同域名（如 https://app.example.com → wss://api.example.com），需在 Upgrader 中启用 CORS 并允许凭据：

upgrader := websocket.Upgrader{     CheckOrigin: func(r *http.Request) bool {         // 生产环境请严格校验 Origin，而非放行所有         origin := r.Header.Get("Origin")         return origin == "https://app.example.com" || origin == "http://localhost:8080"     },     // 允许浏览器在跨域 WebSocket 请求中携带 Cookie     EnableCompression: true, }

同时，确保反向代理（如 nginx）未剥离 Cookie 或 Origin 头，并透传 Sec-WebSocket-* 相关头。

⚠️ 注意事项总结

• 不要在 Upgrade 后尝试读取 Cookie：升级后连接已切换为 WebSocket 协议，原始 *http.Request 不再有效；所有认证必须在升级前完成。
• HttpOnly Cookie 可被服务端读取：HttpOnly 仅限制 javaScript 访问，不影响 Go 服务端 req.Cookie()。
• 避免在 defer conn.Close() 后继续使用 conn：defer 在 handler 返回时触发，但后续 goroutine 可能仍在读写，应单独管理生命周期。
• Session 存储建议使用带 TTL 的后端（如 Redis），防止长期无效连接占用资源。

通过以上配置，你就能在 Gorilla WebSocket 中安全、可靠地复用现有基于 Cookie 的会话认证体系，无需引入额外 Token 机制。