Spring Session - 自定义 Cookie

本指南介绍如何使用 Java 配置来配置 Spring Session 以使用自定义 Cookie。本指南假设您已使用您选择的数据存储在项目中设置了 Spring Session。例如,使用 Redis 的 HttpSession

您可以在自定义 Cookie 示例应用程序中找到完整的指南。

设置 Spring Session 后,您可以通过将 `CookieSerializer` 作为 Spring bean 公开来定制会话 Cookie 的写入方式。Spring Session 附带 `DefaultCookieSerializer`。当您使用 `@EnableRedisHttpSession` 等配置时,将 `DefaultCookieSerializer` 作为 Spring bean 公开会增强现有配置。以下示例展示了如何定制 Spring Session 的 Cookie

	@Bean
	public CookieSerializer cookieSerializer() {
		DefaultCookieSerializer serializer = new DefaultCookieSerializer();
		serializer.setCookieName("JSESSIONID"); (1)
		serializer.setCookiePath("/"); (2)
		serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); (3)
		return serializer;
	}
1 我们将 Cookie 的名称定制为 JSESSIONID
2 我们将 Cookie 的路径定制为 /(而不是默认的上下文根)。
3 我们将域名模式(正则表达式)定制为 `^.?\\.(\\w\\.[a-z]+)$`。这允许在多个域和应用程序之间共享会话。如果正则表达式不匹配,则不设置任何域并使用现有域。如果正则表达式匹配,则第一个分组用作域。这意味着对 child.example.com 的请求将域设置为 `example.com`。然而,对 localhost:8080/192.168.1.100:8080/ 的请求则不设置 Cookie,因此在开发中仍然有效,无需对生产环境进行任何更改。
您应该只匹配有效的域名字符,因为域名会反映在响应中。这样做可以防止恶意用户执行诸如 HTTP 响应拆分之类的攻击。

以下是可用的配置选项

  • cookieName:要使用的 Cookie 名称。默认值:SESSION

  • useSecureCookie:指定是否应使用安全 Cookie。默认值:在创建时使用 HttpServletRequest.isSecure() 的值。

  • cookiePath:Cookie 的路径。默认值:上下文根。

  • cookieMaxAge:指定在会话创建时要设置的 Cookie 的最大年龄。默认值:-1,表示当浏览器关闭时应删除 Cookie。

  • jvmRoute:指定一个后缀,该后缀将附加到会话 ID 并包含在 Cookie 中。用于识别要路由到哪个 JVM 以实现会话亲和性。对于某些实现(即 Redis),此选项不提供性能优势。但是,它可以帮助跟踪特定用户的日志。

  • domainName:允许指定用于 Cookie 的特定域名。此选项易于理解,但通常需要在开发和生产环境之间进行不同的配置。请参阅 domainNamePattern 作为替代方案。

  • domainNamePattern:一个不区分大小写的模式,用于从 HttpServletRequest#getServerName() 中提取域名。该模式应提供一个用于提取 Cookie 域值的分组。如果正则表达式不匹配,则不设置任何域并使用现有域。如果正则表达式匹配,则第一个分组用作域。

  • sameSiteSameSite Cookie 指令的值。要禁用 SameSite Cookie 指令的序列化,您可以将此值设置为 null。默认值:Lax

您应该只匹配有效的域名字符,因为域名会反映在响应中。这样做可以防止恶意用户执行诸如 HTTP 响应拆分之类的攻击。

本节介绍如何使用 custom-cookie 示例应用程序。

运行 custom-cookie 示例应用程序

您可以通过获取源代码并调用以下命令来运行示例:

$ ./gradlew :spring-session-sample-javaconfig-custom-cookie:tomcatRun
要使示例正常工作,您必须在本地主机上安装 Redis 2.8+ 并以默认端口(6379)运行它。或者,您可以更新 RedisConnectionFactory 以指向 Redis 服务器。另一种选择是使用 Docker 在本地主机上运行 Redis。有关详细说明,请参阅Docker Redis 存储库

您现在应该能够通过 localhost:8080/ 访问该应用程序

探索 custom-cookie 示例应用程序

现在您可以使用该应用程序。填写以下信息表单

  • 属性名称: username

  • 属性值: rob

现在点击 设置属性 按钮。您现在应该会在表格中看到显示的值。

如果您查看应用程序的 Cookie,您可以看到 Cookie 以自定义名称 JSESSIONID 保存。

© . This site is unofficial and not affiliated with VMware.