Spring Session - Custom Cookie
本指南描述了如何使用 Java 配置配置 Spring Session 以使用自定 cookie。本指南假定你已经使用你选择的数据库存储在你的项目中设置了 Spring Session。例如, HttpSession with Redis。
您可以在Custom Cookie sample application中找到已完成指南。 |
Spring Java Configuration
设置 Spring Session 后,您可以通过公开 CookieSerializer
(作为 Spring Bean)来自定义会话 Cookie 的写入方式。Spring Session 附带 DefaultCookieSerializer
。当您使用诸如 @EnableRedisHttpSession
的配置时,将 DefaultCookieSerializer
作为 Spring Bean 公开会增强现有配置。以下示例显示如何自定义 Spring Session 的 Cookie:
Unresolved include directive in modules/ROOT/pages/guides/java-custom-cookie.adoc - include::example$spring-session-samples/spring-session-sample-javaconfig-custom-cookie/src/main/java/sample/Config.java[]
1 | 我们自定义 cookie 名称,使其为 JSESSIONID 。 |
2 | 我们自定义 cookie 路径,使其为 / (而不是默认的上下文根)。 |
3 | 我们自定义域名模式(正则表达式),使其为 ^.?\\.(\\w\\.[a-z]+)$ 。这可以在多个域和应用程序之间共享会话。如果正则表达式不匹配,则不会设置域,并且会使用现有的域。如果正则表达式匹配,则第一个 grouping 将用作域。这意味着对 [role="bare"][role="bare"]https://child.example.com 的请求将域设置为 example.com 。然而,对 [role="bare"][role="bare"]http://localhost:8080/ 或 [role="bare"][role="bare"]https://192.168.1.100:8080/ 的请求会使 cookie 未设置,因此在开发中无需任何更改即可继续使用。 |
你应当只匹配有效的域名字符,因为域名会反映在响应中。这样做可以防止恶意用户实施攻击,比如 HTTP Response Splitting。
Configuration Options
以下配置选项可供使用:
-
cookieName
:要使用的 cookie 名称。默认:SESSION
。 -
useSecureCookie
:指定是否应使用安全 cookie。默认:创建时使用HttpServletRequest.isSecure()
的值。 -
cookiePath
:cookie 的路径。默认:上下文根。 -
cookieMaxAge
:指定创建会话时要设置的 cookie 的最大生存期。默认:-1
,表示在关闭浏览器时应删除 cookie。 -
jvmRoute
:指定要追加到会话 ID 中并在 cookie 中包含的后缀。用于标识应路由到哪个 JVM 来获得会话关联性。对于某些实现(即 Redis),此选项不提供性能优势。然而,它可以帮助跟踪特定用户的日志。 -
domainName
:允许指定要用于 cookie 的特定域名。这个选项易于理解,但通常需要开发环境和生产环境之间的不同配置。将domainNamePattern
视为一种替代方案。 -
domainNamePattern
:不区分大小写的模式,用于从HttpServletRequest#getServerName()
中提取域名。模式应提供一个单独的分组,该分组用于提取 cookie 域的值。如果正则表达式不匹配,则不会设置域,并且会使用现有的域。如果正则表达式匹配,则第一个 grouping 将用作域。 -
sameSite
:用于SameSite
cookie 指令的值。若要禁用SameSite
cookie 指令的序列化,可以将此值设为null
。默认:Lax
你应当只匹配有效的域名字符,因为域名会反映在响应中。这样做可以防止恶意用户实施攻击,比如 HTTP Response Splitting。
custom-cookie
Sample Application
本部分介绍如何使用 custom-cookie
示例应用程序。
Running the custom-cookie
Sample Application
您可以获取 源代码 并调用以下命令运行示例:
$ ./gradlew :spring-session-sample-javaconfig-custom-cookie:tomcatRun
要让示例发挥作用,你必须在 localhost 上 install Redis 2.8+ 并使用默认端口 (6379) 运行它。或者,你可以更新 |
您现在应该能够访问 [role="bare"][role="bare"]http://localhost:8080/ 中的应用程序。