如何在Spring-Boot中使用Cookies

57次阅读

共计 2707 个字符,预计需要花费 7 分钟才能阅读完成。

一、导读

本文大纲

  • 读取 HTTP Cookie
  • 设置 HTTP Cookie
  • 读取所有 Cookie[]
  • 为 Cookie 设置过期时间
  • Https 与 Cookie
  • HttpOnly Cookie
  • 删除 Cookie

HTTP Cookie(也称为 Web cookie 浏览器 cookie)是服务器在用户浏览器中存储的小部分数据。服务器端应用程序在返回浏览器请求响应的时候设置 cookie,浏览器存储 cookie,并将它们在下一个请求一起发送的时候自动带回服务器端应用程序。

Cookies 提供了一种在服务器和浏览器之间交换信息的方法,以管理会话(登录,购物车,游戏得分),记住用户首选项(主题,隐私策略接受)以及跟踪整个站点的用户行为。Cookies 在一定程度上解放了服务器端的压力,因为将一部分数据放在浏览器端存储,所以这部分数据不能是涉及应用安全的数据。在本文中,我们将学习如何在 Spring Boot 应用程序中读取、设置和删除 HTTP cookie。

二、读取 HTTP Cookie

Spring 框架提供 @CookieValue 注释来获取 HTTP cookie 的值,此注解可直接用在控制器方法参数中。



@GetMapping("/")
public String readCookie(@CookieValue(value = "username", 
                                      defaultValue = "Atta") String username) {return "Hey! My username is" + username;}

在上述代码段中,请注意 defaultValue = "Atta"。如果没有设置默认值,并且没有找到名称为 username 的 Cookie,Spring 将抛出java.lang.IllegalStateException 异常。

三、设置 HTTP Cookie

要在 Spring Boot 中设置 cookie,我们可以使用 HttpServletResponse 类的方法 addCookie()。您需要做的就是创建一个新的Cookie 对象并将其添加到响应中。


@GetMapping("/change-username")
public String setCookie(HttpServletResponse response) {
    // 创建一个 cookie 对象
    Cookie cookie = new Cookie("username", "Jovan");

    // 将 cookie 对象加入 response 响应
    response.addCookie(cookie);

    return "Username is changed!";
}

四、读取所有 Cookie[]

除了使用 @CookieValue 注解,我们还可以使用 HttpServletRequest 类作为控制器方法参数来读取所有 cookie。此类提供了 getCookies() 方法,该方法以数组形式返回浏览器发送的所有 cookie。


@GetMapping("/all-cookies")
public String readAllCookies(HttpServletRequest request) {Cookie[] cookies = request.getCookies();
    if (cookies != null) {return Arrays.stream(cookies)
                .map(c -> c.getName() + "=" + c.getValue())
                .collect(Collectors.joining(","));
    }

    return "No cookies";
}

五、为 Cookie 设置过期时间

如果没有为 cookie 指定过期时间,则其生命周期将持续到 Session 过期为止。这样的 cookie 称为 会话 cookie。会话 cookie 保持活动状态,直到用户关闭其浏览器或清除其 cookie。但是您可以覆盖此默认行为,并使用类的 setMaxAge() 方法设置 cookie 的过期时间。


// 创建一个 cookie 对象
Cookie cookie = new Cookie("username", "Jovan");
cookie.setMaxAge(7 * 24 * 60 * 60); // 7 天过期

// 将 cookie 对象加入 response 响应
response.addCookie(cookie);

现在,usernameCookie 不会因为 Seesion 结束到期,而是会在接下来的 7 天保持有效。传递给 setMaxAge() 方法的到期时间以秒为单位。到期日期和时间是相对于设置 cookie 的客户端而不是服务器而言的。

六、Https 与 Cookie

我们需要了解一个概念:什么的安全的 Cookies?安全的 cookie 是仅可以通过加密的 HTTPS 连接发送到服务器的 cookie。无法通过未加密的 HTTP 连接将 cookie 发送到服务器。也就是说,如果设置了 setSecure(true),该 Cookie 将无法在 Http 连接中传输,只能是 Https 连接中传输。


// 创建一个 cookie 对象
Cookie cookie = new Cookie("username", "Jovan");
cookie.setSecure(true);  //Https 安全 cookie

// 将 cookie 对象加入 response 响应
response.addCookie(cookie);

七、HttpOnly Cookie

HttpOnly cookie 用于防止跨站点脚本(XSS)攻击,也就是说设置了 Http Only 的 Cookie 不能通过 JavaScript 的Document.cookieAPI 访问,仅能在服务端由服务器程序访问。


// 创建一个 cookie 对象
Cookie cookie = new Cookie("username", "Jovan");
cookie.setHttpOnly(true);  // 不能被 js 访问的 Cookie

// 将 cookie 对象加入 response 响应
response.addCookie(cookie);

八、删除 Cookie

要删除 Cookie,需要将 Max-Age 设置为 0,并且将 Cookie 的值设置为 null。不要将 Max-Age 指令值设置为 -1 负数。否则,浏览器会将其视为会话 cookie。


// 将 Cookie 的值设置为 null
Cookie cookie = new Cookie("username", null);
// 将 `Max-Age` 设置为 0
cookie.setMaxAge(0);

response.addCookie(cookie);

期待您的关注

  • 博主最近新写了一本书:《手摸手教您学习 SpringBoot 系列 -16 章 97 节》
  • 本文转载注明出处(必须带连接,不能只转文字):字母哥博客。

正文完
 0