欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

如何在Spring Boot中使用Cookies

程序员文章站 2023-02-04 12:49:59
一、 导读 本文大纲 读取HTTP Cookie 设置HTTP Cookie 读取所有Cookie[] 为Cookie设置过期时间 Https与Cookie HttpOnly Cookie 删除Cookie HTTP Cookie(也称为 Web cookie , 浏览器cookie )是服务器在用 ......

如何在Spring Boot中使用Cookies

一、 导读

本文大纲

  • 读取http cookie
  • 设置http cookie
  • 读取所有cookie[]
  • 为cookie设置过期时间
  • https与cookie
  • httponly cookie
  • 删除cookie

http cookie(也称为web cookie浏览器cookie)是服务器在用户浏览器中存储的小部分数据。服务器端应用程序在返回浏览器请求响应的时候设置cookie,浏览器存储cookie,并将它们在下一个请求一起发送的时候自动带回服务器端应用程序。

cookies提供了一种在服务器和浏览器之间交换信息的方法,以管理会话(登录,购物车,游戏得分),记住用户首选项(主题,隐私策略接受)以及跟踪整个站点的用户行为。cookies在一定程度上解放了服务器端的压力,因为将一部分数据放在浏览器端存储,所以这部分数据不能是涉及应用安全的数据。在本文中,我们将学习如何在spring boot应用程序中读取、设置和删除http cookie。

spring框架提供@cookievalue注释来获取http cookie的值,此注解可直接用在控制器方法参数中。


@getmapping("/")
public string readcookie(@cookievalue(value = "username", 
                                      defaultvalue = "atta") string username) {
    return "hey! my username is " + username;
}

在上述代码段中,请注意defaultvalue = "atta"。如果没有设置默认值,并且没有找到名称为username的cookie,spring将抛出java.lang.illegalstateexception异常。

要在spring boot中设置cookie,我们可以使用httpservletresponse类的方法addcookie()。您需要做的就是创建一个新的cookie对象并将其添加到响应中。

@getmapping("/change-username")
public string setcookie(httpservletresponse response) {
    // 创建一个 cookie对象
    cookie cookie = new cookie("username", "jovan");

    //将cookie对象加入response响应
    response.addcookie(cookie);

    return "username is changed!";
}

四、读取所有cookie[]

除了使用@cookievalue注解,我们还可以使用httpservletrequest类作为控制器方法参数来读取所有cookie。此类提供了getcookies()方法,该方法以数组形式返回浏览器发送的所有cookie。

@getmapping("/all-cookies")
public string readallcookies(httpservletrequest request) {

    cookie[] cookies = request.getcookies();
    if (cookies != null) {
        return arrays.stream(cookies)
                .map(c -> c.getname() + "=" + c.getvalue())
                .collect(collectors.joining(", "));
    }

    return "no cookies";
}

五、为cookie设置过期时间

如果没有为cookie指定过期时间,则其生命周期将持续到session过期为止。这样的cookie称为会话cookie。会话cookie保持活动状态,直到用户关闭其浏览器或清除其cookie。但是您可以覆盖此默认行为,并使用类的setmaxage()方法设置cookie的过期时间。

// 创建一个 cookie对象
cookie cookie = new cookie("username", "jovan");
cookie.setmaxage(7 * 24 * 60 * 60); // 7天过期

//将cookie对象加入response响应
response.addcookie(cookie);

现在,usernamecookie不会因为seesion结束到期,而是会在接下来的7天保持有效。传递给setmaxage()方法的到期时间以秒为单位。到期日期和时间是相对于设置cookie的客户端而不是服务器而言的。

六、https与cookie

我们需要了解一个概念:什么的安全的cookies?安全的cookie是仅可以通过加密的https连接发送到服务器的cookie。无法通过未加密的http连接将cookie发送到服务器。也就是说,如果设置了setsecure(true),该cookie将无法在http连接中传输,只能是https连接中传输。

// 创建一个 cookie对象
cookie cookie = new cookie("username", "jovan");
cookie.setsecure(true);  //https 安全cookie

//将cookie对象加入response响应
response.addcookie(cookie);

httponly cookie用于防止跨站点脚本(xss)攻击,也就是说设置了http only的cookie不能通过javascript的document.cookieapi访问,仅能在服务端由服务器程序访问。

// 创建一个 cookie对象
cookie cookie = new cookie("username", "jovan");
cookie.sethttponly(true);  //不能被js访问的cookie

//将cookie对象加入response响应
response.addcookie(cookie);

八、删除cookie

要删除cookie,需要将max-age设置为0,并且将cookie的值设置为null。不要将max-age指令值设置为-1负数。否则,浏览器会将其视为会话cookie。

// 将cookie的值设置为null
cookie cookie = new cookie("username", null);
//将`max-age`设置为0
cookie.setmaxage(0);

response.addcookie(cookie);

期待您的关注