SpringBoot中如何使用Cookies

简介: 本文介绍了如何在Spring Boot中操作HTTP Cookie。内容包括:使用@CookieValue注解读取Cookie,通过HttpServletResponse设置Cookie,读取所有Cookie,设置Cookie过期时间,理解HTTPS与Cookie安全,使用HttpOnly Cookie防止XSS攻击,以及如何删除Cookie。示例代码展示了各种操作的方法。

、 导读

本文大纲

   读取HTTP Cookie

   设置HTTP Cookie

   读取所有Cookie[]

   为Cookie设置过期时间

   Https与Cookie

   HttpOnly Cookie

   删除Cookie

HTTP Cookie(也称为Web cookie,浏览器cookie)是服务器在用户浏览器中存储的小部分数据。服务器端应用程序在返回浏览器请求响应的时候设置cookie,浏览器存储cookie,并将它们在下一个请求一起发送的时候自动带回服务器端应用程序。

Cookies提供了一种在服务器和浏览器之间交换信息的方法,以管理会话(登录,购物车,游戏得分),记住用户首选项(主题,隐私策略接受)以及跟踪整个站点的用户行为。Cookies在一定程度上解放了服务器端的压力,因为将一部分数据放在浏览器端存储,所以这部分数据不能是涉及应用安全的数据。在本文中,我们将学习如何在Spring Boot应用程序中读取、设置和删除HTTP cookie。

二、读取HTTP Cookie

Spring框架提供@CookieValue注释来获取HTTP cookie的值,此注解可直接用在控制器方法参数中。

   

   @GetMapping("/")

   public String readCookie(@CookieValue(value = "username",  

                                         defaultValue = "Atta") String username) {

       return "Hey! My username is " + username;

   }

   

在上述代码段中,请注意defaultValue = "Atta"。如果没有设置默认值,并且没有找到名称为username的Cookie,Spring将抛出java.lang.IllegalStateException异常。

三、设置HTTP Cookie

要在Spring Boot中设置cookie,我们可以使用HttpServletResponse类的方法addCookie()。您需要做的就是创建一个新的Cookie对象并将其添加到响应中。

   @GetMapping("/change-username")

   public String setCookie(HttpServletResponse response) {

       // 创建一个 cookie对象

       Cookie cookie = new Cookie("username", "Jovan");

   

       //将cookie对象加入response响应

       response.addCookie(cookie);

   

       return "Username is changed!";

   }

四、读取所有Cookie[]

除了使用@CookieValue注解,我们还可以使用HttpServletRequest类作为控制器方法参数来读取所有cookie。此类提供了getCookies()方法,该方法以数组形式返回浏览器发送的所有cookie。

   @GetMapping("/all-cookies")

   public String readAllCookies(HttpServletRequest request) {

   

       Cookie[] cookies = request.getCookies();

       if (cookies != null) {

           return Arrays.stream(cookies)

                   .map(c -> c.getName() + "=" + c.getValue())

                   .collect(Collectors.joining(", "));

       }

   

       return "No cookies";

   }

五、为Cookie设置过期时间

如果没有为cookie指定过期时间,则其生命周期将持续到Session过期为止。这样的cookie称为会话cookie。会话cookie保持活动状态,直到用户关闭其浏览器或清除其cookie。但是您可以覆盖此默认行为,并使用类的setMaxAge()方法设置cookie的过期时间。

   // 创建一个 cookie对象

   Cookie cookie = new Cookie("username", "Jovan");

   cookie.setMaxAge(7 * 24 * 60 * 60); // 7天过期

   

   //将cookie对象加入response响应

   response.addCookie(cookie);

   

现在,usernameCookie不会因为Seesion结束到期,而是会在接下来的7天保持有效。传递给setMaxAge()方法的到期时间以秒为单位。到期日期和时间是相对于设置cookie的客户端而不是服务器而言的。

六、Https与Cookie

我们需要了解一个概念:什么的安全的Cookies?安全的cookie是仅可以通过加密的HTTPS连接发送到服务器的cookie。无法通过未加密的HTTP连接将cookie发送到服务器。也就是说,如果设置了setSecure(true),该Cookie将无法在Http连接中传输,只能是Https连接中传输。

   // 创建一个 cookie对象

   Cookie cookie = new Cookie("username", "Jovan");

   cookie.setSecure(true);  //Https 安全cookie

   

   //将cookie对象加入response响应

   response.addCookie(cookie);

   

七、HttpOnly Cookie

HttpOnly cookie用于防止跨站点脚本(XSS)攻击,也就是说设置了Http Only的Cookie不能通过JavaScript的Document.cookieAPI访问,仅能在服务端由服务器程序访问。

   // 创建一个 cookie对象

   Cookie cookie = new Cookie("username", "Jovan");

   cookie.setHttpOnly(true);  //不能被js访问的Cookie

   

   //将cookie对象加入response响应

   response.addCookie(cookie);

八、删除Cookie

要删除Cookie,需要将Max-Age设置为0,并且将Cookie的值设置为null。不要将Max-Age指令值设置为-1负数。否则,浏览器会将其视为会话cookie。

   // 将Cookie的值设置为null

   Cookie cookie = new Cookie("username", null);

   //将`Max-Age`设置为0

   cookie.setMaxAge(0);

   

   response.addCookie(cookie);


相关文章
|
1月前
|
缓存 Java Spring
servlet和SpringBoot两种方式分别获取Cookie和Session方式比较(带源码) —— 图文并茂 两种方式获取Header
文章比较了在Servlet和Spring Boot中获取Cookie、Session和Header的方法,并提供了相应的代码实例,展示了两种方式在实际应用中的异同。
128 3
servlet和SpringBoot两种方式分别获取Cookie和Session方式比较(带源码) —— 图文并茂 两种方式获取Header
|
6月前
|
存储 安全 JavaScript
SpringBoot中如何使用Cookies
本文介绍了如何在Spring Boot中操作HTTP Cookie。包括读取Cookie使用`@CookieValue`注解,设置Cookie通过`HttpServletResponse`的`addCookie()`方法,获取所有Cookie用`HttpServletRequest`的`getCookies()`,设置Cookie过期时间用`setMaxAge()`,理解HTTPS与Cookie的安全性,启用HttpOnly Cookie以防止XSS攻击,以及如何删除Cookie。
270 0
|
6月前
|
前端开发 JavaScript Java
SpringBoot解决跨域访问的问题
本文介绍了跨域访问的概念及其解决方案。同源策略规定浏览器限制不符合协议、Host和端口的请求,导致跨域访问被禁止。为解决此问题,文中提出了三种策略:1) 前端利用HTML标签的特性(如script、iframe)和JSONP、postMessage规避同源策略;2) 通过代理,如nginx或nodejs中间件,使得所有请求看似来自同一源;3) CORS(跨域资源共享),通过设置HTTP响应头允许特定跨域请求。在SpringBoot中,实现CORS有四种方式,包括使用CorsFilter、重写WebMvcConfigurer、CrossOrigin注解以及直接设置响应头。
124 0
|
6月前
|
Web App开发 前端开发 Java
SpringBoot之请求的详细解析
SpringBoot之请求的详细解析
53 0
|
6月前
|
缓存 Java
SpringBoot跨域代码两种方式
SpringBoot跨域代码两种方式
32 0
|
6月前
|
前端开发 Java
【十四】springboot整合WebSocket
【十四】springboot整合WebSocket
108 0
|
Java
Springboot简单实现文件上传
Springboot简单实现文件上传
125 0
|
前端开发 Java
【笑小枫的SpringBoot系列】【十】SpringBoot处理请求跨域问题
【笑小枫的SpringBoot系列】【十】SpringBoot处理请求跨域问题
119 0
|
Java 开发者
SpringBoot 实现文件上传|学习笔记
快速学习 SpringBoot 实现文件上传
509 0
SpringBoot 实现文件上传|学习笔记
|
Java 应用服务中间件 数据库连接
springboot入门demo详解(解决跨域)
微服务自问世以来就一直很火。天天耳听Springboot,Springcloud,docker,这些名词,以前没学Springboot的时候刚学ssm的时候,,说实话头都炸了。单独一个个学习Spring,Springmvc,mybatis还能将就配置,记得当初把三个整合的时候可是费了好大的功夫,然后又将ssm转成idea的maven项目又转了一大圈,找了好久,n个bug才把ssm搭成功。
229 0
springboot入门demo详解(解决跨域)