对于最新的稳定版本,请使用 Spring Session 3.3.1

对于最新的稳定版本,请使用 Spring Session 3.3.1

本指南介绍如何将 Spring Session 配置为在 Java 配置中使用自定义 cookie。 本指南假设您已经使用所选的数据存储在项目中设置了 Spring Session。例如,带有 Redis 的 HttpSession

您可以在自定义 Cookie 示例应用程序中找到完整的指南。
您可以在自定义 Cookie 示例应用程序中找到完整的指南。

设置 Spring Session 后,您可以通过将 a 公开为 Spring Bean 来自定义会话 cookie 的编写方式。 Spring Session 附带 . 当您使用类似 的配置时,将 公开为 Spring bean 会扩充现有配置。 以下示例演示如何自定义 Spring Session 的 cookie:CookieSerializerDefaultCookieSerializerDefaultCookieSerializer@EnableRedisHttpSession

	@Bean
	public CookieSerializer cookieSerializer() {
		DefaultCookieSerializer serializer = new DefaultCookieSerializer();
		serializer.setCookieName("JSESSIONID"); (1)
		serializer.setCookiePath("/"); (2)
		serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); (3)
		return serializer;
	}
1 我们将 cookie 的名称自定义为 。JSESSIONID
2 我们将 cookie 的路径自定义为(而不是上下文根的默认路径)。/
3 我们将域名模式(正则表达式)自定义为 。 这允许跨域和应用程序共享会话。 如果正则表达式不匹配,则不设置属性域,并使用现有属性域。 如果正则表达式匹配,则第一个分组用作域。 这意味着对 child.example.com 的请求将域设置为 。 但是,对 localhost:8080/192.168.1.100:8080/ 的请求会使 cookie 保持未设置状态,因此,它仍然在开发中工作,无需对生产进行任何更改。^.?\\.(\\w\\.[a-z]+)$example.com
您应仅匹配有效的域字符,因为该域名会反映在响应中。 这样做可以防止恶意用户执行 HTTP 响应拆分等攻击。
1 我们将 cookie 的名称自定义为 。JSESSIONID
2 我们将 cookie 的路径自定义为(而不是上下文根的默认路径)。/
3 我们将域名模式(正则表达式)自定义为 。 这允许跨域和应用程序共享会话。 如果正则表达式不匹配,则不设置属性域,并使用现有属性域。 如果正则表达式匹配,则第一个分组用作域。 这意味着对 child.example.com 的请求将域设置为 。 但是,对 localhost:8080/192.168.1.100:8080/ 的请求会使 cookie 保持未设置状态,因此,它仍然在开发中工作,无需对生产进行任何更改。^.?\\.(\\w\\.[a-z]+)$example.com
您应仅匹配有效的域字符,因为该域名会反映在响应中。 这样做可以防止恶意用户执行 HTTP 响应拆分等攻击。

可以使用以下配置选项:

  • cookieName:要使用的 Cookie 的名称。 违约:。SESSION

  • useSecureCookie:指定是否应使用安全 Cookie。 默认值:使用创建时的值。HttpServletRequest.isSecure()

  • cookiePath:cookie 的路径。 默认值:上下文根。

  • cookieMaxAge:指定在创建会话时要设置的 cookie 的最长期限。 默认值:,表示在浏览器关闭时应删除 cookie。-1

  • jvmRoute:指定要附加到会话 ID 并包含在 Cookie 中的后缀。 用于确定要路由到哪个 JVM 以实现会话相关性。 对于某些实现(即 Redis),此选项不会提供任何性能优势。 但是,它可以帮助跟踪特定用户的日志。

  • domainName:允许指定用于 cookie 的特定域名。 此选项易于理解,但通常需要在开发环境和生产环境之间进行不同的配置。 请看作另一种选择。domainNamePattern

  • domainNamePattern:一种不区分大小写的模式,用于从 . 该模式应提供用于提取 Cookie 域值的单个分组。 如果正则表达式不匹配,则不设置属性域,并使用现有属性域。 如果正则表达式匹配,则第一个分组用作域。HttpServletRequest#getServerName()

  • sameSite:cookie 指令的值。 若要禁用 cookie 指令的序列化,可以将此值设置为 。 违约:SameSiteSameSitenullLax

您应仅匹配有效的域字符,因为该域名会反映在响应中。 这样做可以防止恶意用户执行 HTTP 响应拆分等攻击。
您应仅匹配有效的域字符,因为该域名会反映在响应中。 这样做可以防止恶意用户执行 HTTP 响应拆分等攻击。

本节介绍如何使用示例应用程序。custom-cookie

运行示例应用程序custom-cookie

可以通过获取源代码并调用以下命令来运行示例:

$ ./gradlew :spring-session-sample-javaconfig-custom-cookie:tomcatRun
若要使示例正常工作,必须在 localhost 上安装 Redis 2.8+ 并使用默认端口 (6379) 运行它。 或者,您可以将指向 Redis 服务器更新。 另一种选择是使用 Docker 在 localhost 上运行 Redis。有关详细说明,请参阅 Docker Redis 存储库RedisConnectionFactory

您现在应该能够在 localhost:8080/ 访问该应用程序

探索示例应用程序custom-cookie

现在您可以使用该应用程序了。在表格中填写以下信息:

  • 属性名称:用户名

  • 属性值:rob

现在单击“设置属性”按钮。 现在,您应该会看到表中显示的值。

如果您查看应用程序的 cookie,您可以看到 cookie 已保存到 的自定义名称 。JSESSIONID

若要使示例正常工作,必须在 localhost 上安装 Redis 2.8+ 并使用默认端口 (6379) 运行它。 或者,您可以将指向 Redis 服务器更新。 另一种选择是使用 Docker 在 localhost 上运行 Redis。有关详细说明,请参阅 Docker Redis 存储库RedisConnectionFactory