Spring Session - 自定义 Cookie
本指南介绍了如何使用Java配置来配置Spring Session以使用自定义Cookie。该指南假设您已经使用所选的数据存储在项目中设置了Spring Session。例如,使用 Redis 的 HttpSession。
你可以在自定义 Cookie 示例应用程序中找到完整的指南。
Spring Java 配置
一旦你设置好了 Spring Session,你可以通过将 CookieSerializer 作为 Spring bean 暴露出来来自定义会话 cookie 的写入方式。Spring Session 提供了 DefaultCookieSerializer。当你使用诸如 @EnableRedisHttpSession 这样的配置时,将 DefaultCookieSerializer 作为 Spring bean 暴露出来会增强现有的配置。下面的示例展示了如何自定义 Spring Session 的 cookie:
@Bean
public CookieSerializer cookieSerializer() {
DefaultCookieSerializer serializer = new DefaultCookieSerializer();
serializer.setCookieName("JSESSIONID"); 1
serializer.setCookiePath("/"); 2
serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); 3
return serializer;
}
我们将 cookie 的名称自定义为
JSESSIONID。我们将 cookie 的路径自定义为
/(而不是默认的上下文根)。我们将域名模式(一个正则表达式)自定义为
^.?\\.(\\w\\.[a-z]+)$。这允许在多个域和应用程序之间共享会话。如果正则表达式不匹配,则不会设置任何域,并使用现有域。如果正则表达式匹配,则使用第一个分组作为域。这意味着,对 child.example.com 的请求将域设置为example.com。然而,对 localhost:8080/ 或 192.168.1.100:8080/ 的请求不会设置 cookie,因此在开发环境中仍然可以正常工作,而无需在生产环境中进行任何更改。
你应该只匹配有效的域名字符,因为域名会被反映在响应中。这样做可以防止恶意用户执行诸如HTTP 响应拆分之类的攻击。
配置选项
以下配置选项可用:
-
cookieName: 要使用的 cookie 的名称。默认值:SESSION。 -
useSecureCookie: 指定是否应使用安全的 cookie。默认值:使用创建时HttpServletRequest.isSecure()的值。 -
cookiePath: cookie 的路径。默认值:上下文根。 -
cookieMaxAge: 指定在会话创建时设置的 cookie 的最大生存期。默认值:-1,表示在浏览器关闭时删除 cookie。 -
jvmRoute: 指定要附加到会话 ID 并包含在 cookie 中的后缀。用于标识会话亲和性应路由到的 JVM。对于某些实现(例如 Redis),此选项不会提供性能优势。但是,它可以帮助追踪特定用户的日志。 -
domainName: 允许指定用于 cookie 的特定域名。此选项易于理解,但通常需要在开发环境和生产环境之间进行不同的配置。请参阅domainNamePattern作为替代方案。 -
domainNamePattern: 一个不区分大小写的模式,用于从HttpServletRequest#getServerName()中提取域名。该模式应提供一个用于提取 cookie 域值的单一分组。如果正则表达式不匹配,则不设置任何域并使用现有域。如果正则表达式匹配,则使用第一个分组作为域。 -
sameSite:SameSitecookie 指令的值。要禁用SameSitecookie 指令的序列化,可以将此值设置为null。默认值:Lax
你应该只匹配有效的域名字符,因为域名会被反映在响应中。这样做可以防止恶意用户执行诸如HTTP 响应拆分之类的攻击。
custom-cookie 示例应用程序
本节介绍如何使用 custom-cookie 示例应用程序。
运行 custom-cookie 示例应用程序
你可以通过获取源代码并运行以下命令来运行示例:
$ ./gradlew :spring-session-sample-javaconfig-custom-cookie:tomcatRun
为了让示例正常工作,您必须在本地主机上安装 Redis 2.8+ 并使用默认端口(6379)运行它。或者,您可以更新 RedisConnectionFactory 以指向一个 Redis 服务器。另一个选项是使用 Docker 在本地主机上运行 Redis。有关详细说明,请参阅 Docker Redis 仓库。
你现在应该能够访问 localhost:8080/ 上的应用程序了。
探索 custom-cookie 示例应用程序
现在您可以使用该应用程序了。请用以下信息填写表单:
-
属性名称: username
-
属性值: rob
现在点击 设置属性 按钮。你应该能在表格中看到显示的值。
如果你查看应用程序的 cookies,你可以看到 cookie 被保存为自定义名称 JSESSIONID。