Spring Session - 自定义 Cookie

本指南描述了如何将 Spring Session 配置为通过 Java 配置使用自定义 cookie。 本指南假定您已经使用所选的数据存储在项目中设置了 Spring Session。例如,使用 Redis 的 HttpSessionspring-doc.cadn.net.cn

您可以在 Custom Cookie sample application 中找到完整的指南。

设置 Spring Session 后,您可以通过公开CookieSerializer作为 Spring bean 进行。 Spring Session 附带DefaultCookieSerializer. 公开DefaultCookieSerializer,因为 Spring Bean 会在您使用@EnableRedisHttpSession. 下面的示例展示了如何自定义 Spring Session 的 cookie:spring-doc.cadn.net.cn

	@Bean
	public CookieSerializer cookieSerializer() {
		DefaultCookieSerializer serializer = new DefaultCookieSerializer();
		serializer.setCookieName("JSESSIONID"); (1)
		serializer.setCookiePath("/"); (2)
		serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); (3)
		return serializer;
	}
1 我们将 cookie 的名称自定义为JSESSIONID.
2 我们将 cookie 的路径自定义为 be(而不是上下文根的默认值)。/
3 我们将域名模式(正则表达式)自定义为^.?\\.(\\w\\.[a-z]+)$. 这允许跨域和应用程序共享会话。 如果正则表达式不匹配,则不设置域,并使用现有域。 如果正则表达式匹配,则第一个分组将用作域。 这意味着对 child.example.com 的请求会将域设置为example.com. 但是,对 localhost:8080/192.168.1.100:8080/ 的请求会取消设置 cookie,因此,它仍然可以在开发中工作,而无需进行任何生产更改。
您只应匹配有效的域字符,因为域名会反映在响应中。 这样做可以防止恶意用户执行 HTTP 响应拆分等攻击。

可以使用以下配置选项:spring-doc.cadn.net.cn

  • cookieName:要使用的 Cookie 的名称。 违约:SESSION.spring-doc.cadn.net.cn

  • useSecureCookie:指定是否应使用安全 Cookie。 默认值:使用HttpServletRequest.isSecure()在创建时。spring-doc.cadn.net.cn

  • cookiePath:Cookie 的路径。 Default:上下文根。spring-doc.cadn.net.cn

  • cookieMaxAge:指定要在创建会话时设置的 Cookie 的最长期限。 违约:-1,这表示应在浏览器关闭时删除 Cookie。spring-doc.cadn.net.cn

  • jvmRoute:指定要附加到会话 ID 并包含在 Cookie 中的后缀。 用于标识要路由到哪个 JVM 以实现会话亲缘关系。 对于某些实现(即 Redis),此选项不会提供性能优势。 但是,它可以帮助跟踪特定用户的日志。spring-doc.cadn.net.cn

  • domainName:允许指定要用于 Cookie 的特定域名。 此选项易于理解,但通常需要在开发和生产环境之间使用不同的配置。 看domainNamePattern作为替代方案。spring-doc.cadn.net.cn

  • domainNamePattern:一种不区分大小写的模式,用于从HttpServletRequest#getServerName(). 该模式应提供用于提取 Cookie 域值的单个分组。 如果正则表达式不匹配,则不设置域,并使用现有域。 如果正则表达式匹配,则第一个分组将用作域。spring-doc.cadn.net.cn

  • sameSite:该值SameSitecookie 指令。 要禁用SameSitecookie 指令,您可以将此值设置为null. 违约:Laxspring-doc.cadn.net.cn

您只应匹配有效的域字符,因为域名会反映在响应中。 这样做可以防止恶意用户执行 HTTP 响应拆分等攻击。

本节介绍如何使用custom-cookie示例应用程序。spring-doc.cadn.net.cn

运行custom-cookie示例应用程序

您可以通过获取源码并调用以下命令来运行该示例:spring-doc.cadn.net.cn

$ ./gradlew :spring-session-sample-javaconfig-custom-cookie:tomcatRun
要使该示例正常工作,您必须在 localhost 上安装 Redis 2.8+,并使用默认端口 (6379) 运行它。 或者,您也可以更新RedisConnectionFactory以指向 Redis 服务器。 另一种选择是使用 Docker 在本地主机上运行 Redis。有关详细说明,请参阅 Docker Redis 存储库

您现在应该能够访问 localhost:8080/ 中的应用程序spring-doc.cadn.net.cn

探索custom-cookie示例应用程序

现在您可以使用该应用程序。使用以下信息填写表单:spring-doc.cadn.net.cn

现在单击 Set Attribute 按钮。 您现在应该会看到表中显示的值。spring-doc.cadn.net.cn

如果您查看应用程序的 Cookie,则可以看到 Cookie 已保存到JSESSIONID.spring-doc.cadn.net.cn