用 http.Header 获取 X-CSRF-Token 后需原子验证其存在性、时效性与未使用性先查 Redis 是否已存在该 TokenSetNX若不存在或已过期则拒收若存在则校验签名与过期时间全部通过才允许业务处理否则返回 409 或 422。怎么用 http.Header 检查重复提交的 Token关键不是生成 Token而是验证它是否已被消费。Golang 没有内置“一次性 Token”支持得自己管状态——常见错误是只校验 X-CSRF-Token 是否存在或签名是否有效却没检查它是否已用过。真实场景里用户快速连点两次“提交订单”后一次请求可能在前一次还没写入 DB 时就进来了所以验证必须原子、带时效、且和业务生命周期对齐。Token 建议用 uuid.NewString() 生成不要用时间戳或自增 ID存储选 sync.Map单机或 Redis分布式键为 Token值为过期时间戳或结构体 {used: bool, expires: int64}验证逻辑必须包含三步是否存在 → 是否过期 → 是否已用任一失败就拒掉且不重试别在 net/http 中间件里直接 return 400要确保响应头已写、body 已刷出否则前端可能收不到错误为什么 gorilla/sessions 不适合防重放它能存 Token但默认 Session 存储如 cookie store不保证原子读-改-写两个并发请求可能同时读到 usedfalse都设成 true 后写回结果变成“一次消费两次通过”。更麻烦的是它的 Save() 是延迟写入中间件里调 session.Save(r, w) 后若后续 handler panicSession 可能根本没落盘导致 Token 被误判为未使用。立即学习“go语言免费学习笔记深入”如果坚持用 gorilla/sessions必须搭配 Redis store并开启 Options{MaxAge: 0} 避免客户端缓存旧值绝对不要把 Token 存在 session.Values[token] 然后靠 session.Save 标记已用——这没有并发保护正确做法是Token 存 session 仅作下发验证和标记消耗全走独立存储如 redis.SetNXtime.Now().UnixMilli() 做 Token 过期行不行不行。毫秒级时间戳可预测、无随机性攻击者抓一个请求就能批量伪造有效 Token而且它本身不含签名无法防篡改。 Mokker AI AI产品图添加背景