Cookie那些事儿(Cookie跨域、Cookie共享、SSO)

已于 2023-08-21 00:37:58 修改
阅读量2k 收藏 8
点赞数 3
文章标签: java 开发语言 网络
于 2023-06-28 16:19:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51963973/article/details/131427973
版权

文章目录

1、什么是Cookie

HTTP 是无状态的协议,每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。Cookie是服务器发送到用户浏览器并保持在本地的一小块信息,他会在浏览器下次向服务器发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器。

在这里插入图片描述

2、Cookie的生命周期

	Cookie保存在浏览器(客户端)中
	
	如果不设置过期时间,则表示这个cookie生命周期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了。这种生命期为浏览会话期的cookie被称为会话cookie。会话cookie一般不保存在硬盘上而是保存在内存里。
	
	如果设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie依然有效直到超过设定的过期时间。

3、Cookie有什么用?

Cookie被广泛用于管理用户的会话状态。当用户登录网站时,服务器可以创建一个包含用户标识的Cookie,并在后续的请求中使用该Cookie来识别用户,从而实现用户的登录状态保持。

登录逻辑

  • 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session ,response时将此 Session 的唯一标识信息 SessionID 返回给浏览器,浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie 中,同时 Cookie 记录此 SessionID 属于哪个域名。
  • 当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,
  • 只有找到 Session 才可以证明用户已经登录, 就可执行后面操作。

4、基于java的Cookie工具类

public class CookieUtil {

	// 默认缓存时间,单位/秒, 2H
	private static final int COOKIE_MAX_AGE = Integer.MAX_VALUE;
	// 保存路径,根路径
	private static final String COOKIE_PATH = "/";
	
	/**
	 * 保存
	 *
	 * @param response
	 * @param key
	 * @param value
	 * @param ifRemember 
	 */
	public static void set(HttpServletResponse response, String key, String value, boolean ifRemember) {
		int age = ifRemember?COOKIE_MAX_AGE:-1;
		set(response, key, value, null, COOKIE_PATH, age, false);
	}

	/**
	 * 保存
	 *
	 * @param response
	 * @param key
	 * @param value
	 * @param maxAge
	 */
	private static void set(HttpServletResponse response, String key, String value, String domain, String path, int maxAge, boolean isHttpOnly) {
		Cookie cookie = new Cookie(key, value);
		if (domain != null) {
			cookie.setDomain(domain);
		}
		cookie.setPath(path);
		cookie.setMaxAge(maxAge);
		cookie.setHttpOnly(isHttpOnly);
		response.addCookie(cookie);
	}
	
	/**
	 * 查询value
	 *
	 * @param request
	 * @param key
	 * @return
	 */
	public static String getValue(HttpServletRequest request, String key) {
		Cookie cookie = get(request, key);
		if (cookie != null) {
			return cookie.getValue();
		}
		return null;
	}

	/**
	 * 查询Cookie
	 *
	 * @param request
	 * @param key
	 */
	private static Cookie get(HttpServletRequest request, String key) {
		Cookie[] arr_cookie = request.getCookies();
		if (arr_cookie != null && arr_cookie.length > 0) {
			for (Cookie cookie : arr_cookie) {
				if (cookie.getName().equals(key)) {
					return cookie;
				}
			}
		}
		return null;
	}
	
	/**
	 * 删除Cookie
	 *
	 * @param request
	 * @param response
	 * @param key
	 */
	public static void remove(HttpServletRequest request, HttpServletResponse response, String key) {
		Cookie cookie = get(request, key);
		if (cookie != null) {
			set(response, key, "", null, COOKIE_PATH, 0, true);
		}
	}

}
  • new Cookie(String name, String value):创建一个Cookie对象,必须传入cookie的名字和cookie的值
  • getValue():得到cookie保存的值
  • getName():获取cookie的名字
  • setMaxAge(int expiry):设置cookie的有效期,默认为-1。这个如果设置负数,表示客服端关闭,cookie就会删除。0表示马上删除。正数表示有效时间,单位是秒。
  • setPath(String uri):设置cookie的作用域
  • response.addCookie(Cookie cookie):将cookie给客户端进行保存
  • resquest.getCookies():得到客服端传过来的所有cookie对象

HttpOnly标志:值为true时,Cookie只会在Http请求头中存在,不能通过doucment.cookie;(JavaScript)访问Cookie。。

5、什么是域?

在应用模型,一个完整的,有独立访问路径的功能集合称为一个域。例如百度称为一个应用或系统,下面有若干的域,如:搜索引擎(www.baidu.com)、百度贴吧(tie.baidu.com)、百度知道(zhidao.baidu.com)、百度地图(map.baidu.com)等。

6、什么是跨域?

浏览器对于javascript的同源策略的限制。
客户端请求的时候,请求地址的协议,ip地址,端口号三者只要有一个和当前的不一样就是跨域。
例如:在www.jd.com页面,点击手机后,请求地址就变成了search.jd.com,DNS会将域名映射为对应的IP地址,将请求打到对应的服务器上。这就是一次跨域。

跨域的几种类型

a.com和b.com(一级域名跨域)
qq.a.com和ww.a.com(二级域名跨域)
http://a.com和https://a.com: http和https也属于跨域
示例:

当前页面url被请求页面url是否跨域原因
http://www.test.com/http://www.test.com/index.html同源(协议、域名、端口号相同)
http://www.taobao.com/https://www.taobao.com/跨域协议不同(http/https)
http://www.test.com/http://www.baidu.com/跨域主域名不同(test/baidu)
http://www.test.com/http://blog.test.com/跨域子域名不同(www/blog)
http://www.test.com:8080/http://www.test.com:7001/跨域端口号不同(8080/7001)

7、Cookie的域(Domain)

Cookie的域(Domain)指定了哪些域名可以访问这个Cookie。
当设置Cookie时,你可以使用domain属性来指定允许访问该Cookie的域名范围。这个属性可以设置为当前域名或它的父域名。例如,当前的域名为:‘sub1.example.com’,如果你将Domain属性设置为’.example.com’,那么该Cookie将在example.com及其所有子域名中可见。而不可以指定sub2.example.com或者subchild.sub1.example.com

如果你在sub.example.com域名下设置了一个Cookie,那么它将在sub.example.com及其子域名下可见,但不会在父域名example.com下可见。这是出于安全和隐私方面的考虑,以确保不同子域名之间的信息不会相互干扰。

例如:域A为t1.example.com,域B为t2.example.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.example.com;如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为t2.example.com。

如何算共享了cookie :

同一个域下所有请求 ,都会携带cookie去服务器请求数据
所以我们拿到一个网站的cookie , 就相当于掌握了整个网站的登录钥匙
一般模式下两个网站的cookie不共享 , 防止A网站服务器端可以拿到B网站服务器的数据,相当于我在京东登录后,到了淘宝还是要登录。

允许跨域的常用功能 — 单点登录

单点登录:在A域名登录 , B C D等合作网站就无需再登录 , 可以直接打开网页的内容
单点登录的原理:
同一个浏览器下 ,在登录域第一次请求服务器后 , 拿到了钥匙 , 我们将cookie设置为共享 (我们可以指定将cookie共享给哪些域) , 这样其他域的token过期后,跳转到SSO进行登录时,如果登录域的cookie还没过期,其他的域拿到了登录域的cookie,用户无需再手动进行登录,跳转回之前正在访问的服务,继续以登录态进行访问。
在这里插入图片描述

Bruce1801
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
session、cookie跨域共享
03-29
该文件可以通过代码实例,让你清楚的理解session和cookie的意思,当你明白了这点,你就可以设计出来单点登录功能,同一账号在同一时间只能登录一次功能。同时你可以通过ie、firefox去测试你对session、cookie的理解在此之前是否正确,可以简单告诉你session不是我们大都认为的在登录时候,通过request.getSession()产生的,而是你在首次访问一个应用时候,就已经产生了,这个在我的代码里有ActiveUserListener.java这个session创建的监听器.在此共享,你值的拥有
sso跨域cookie的一段js脚本(推荐)
11-23
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> [removed] var setcookitarray = ""; setcookitarray = "[\"http://passport.a.com/main/setCookie.do?domain=\",\"http://passport.a.com/main/setCookie/main/setCookie.do?domain=.b.cn\",\"http://passport.a.com/main/setCookie/main/setCook
浅谈Cookie跨域获取
最新发布
牧码人博客@luckyhe.com
01-29 916
本文主要讨论到的一个问题,两个域名完全不一样的的系统,甲方能拿到乙方的cookie嘛?牧马人博客
sso:运维云平台之单点登录系统(基于cookie
03-11
SSO单点登录系统 运维云平台之单点登录系统,SSO的概念,用途和好处就没有这说明了,总之能接收好接单点登录的系统就可以接,二次开发成本高的系统如果支持LDAP就先接入LDAP,这样运维同学尽可能减少>少应用系统账号管理维护工作。 本系统基于Cookie的方式,由认证中心统一配置cookie,不支持跨域。这已经基本能满足内部各系统的接收需求,对于接入开发成本也是最低的。 注:如果要求跨域,只需在本系统中稍加少量就可以实现,改成认证中心不配置cookie,在认证中心成功登录后重新插入回退时时把令牌传递回去,由尺寸配置cookie即可。 流程图 部署运行环境 Centos6.5 x86_64 盐堆大师 Python2.7 虚拟环境 Django1.9.2 安装部署 cd salt-deploy sh update_python2.7.8.sh pip install virtualenv
SSO单点登录【基于cookie二级域名下跨域共享
06-25
SSO单点登录【基于cookie二级域名下跨域共享】的简单实现。
详解cookie验证的php应用的一种SSO解决办法
12-20
详解cookie验证的php应用的一种SSO解决办法 近日,项目中需要接入一个“年久失修”的PHP应用,由于系统已经建设多年,并且是信息中心自己的人通过某些工具弄出来的,而且是本人未真正接触过的PHP写的,而且跟我们的系统不在同一服务器上也就是存在跨域的问题,想通过客户端模拟登录的方式来实现,但是总是不成功。 没办法,只好想尽一切办法查看页面源代码,然后,找服务器的php文件,分析。 由于对php不熟悉,加上没有仔细看,因此,对于找到的登录页面的php文件,一开始只是有一个初步的了解,基本上确定是通过cookie来实现,实际上真正的验证机制还有如何验证都没有了解清楚,急着就开始新的征程,结
实现cookie跨域共享的两种方式
热门推荐
大胡子老哥的博客
03-24 2万+
目录跨域概念为何限制跨域?如何安全跨域?(如何实现跨域主要参考这里)如何实现cookie跨域共享cookie的概念cookie的特性跨多域共享cookie( a.com和b.com共享 ) 跨域概念 在域a下通过 ajax 的方式访问域b下的资源。 域相同满足的条件:域名相同(子域名不同视为不同),端口号相同 为何限制跨域? 请了解跨站脚本攻击(XSS) 如何安全跨域?(如何实现跨域主要参考这里) 在XMLHttpRequest v2标准下,提出了CORS(Cross Origin Resourse-Sh
Cookie跨域以及Cookie共享问题
qq_43750656的博客
09-14 5298
解决跨域以后,如何允许跨域请求携带cookie,例如访问B的接口,默认情况下是不允许带cookie的,此时需要设置axios的withcredentials的属性为true,告诉浏览器在访问B网站时,将B网站的cookie带上,此时光前端设置还不行,还需要后端在响应头中添加 allow-withcredentials = true,这样就可以保证跨域请求也可以携带cookie。在站点A下面访问B域名的接口,那么这是一个跨域请求,如果不做处理,此时这个请求就跨域了,浏览器在接收到响应以后会直接报错。
浏览器cookie共享之同一域名下的不同子域名之间共享
JudithHuang的博客
06-12 6148
本文介绍了在Web开发中,如何实现在同一域名下的不同子域名之间共享cookie。首先,解释了cookie的定义和作用。然后,介绍了在设置cookie时设置域名属性或使用顶级域名作为cookie的域名的方法。在实现此技术时,需要注意安全性和正确性,例如设置cookie的路径属性和过期时间,以及避免不同子域名之间cookie的相互覆盖等问题。最后,强调了在同一域名下的不同子域名之间共享cookie的重要性和优点。
CookieCookie简介以及跨域问题
Ez4Sterben的博客
06-29 2513
cookie是由网络服务器存储在你电脑硬盘上的一个txt类型的小文件,它和你的网络浏览行为有关,所以存储在你电脑上的cookie就好像你的一张身份证,你电脑上的cookie和其他电脑上的cookie是不一样的。首先我们打开一个页面按F12在应用中我们可以找到Cookie,其中的Domain就是Cookie所述的域名,跨域就是默认情况下Cookie是无法被携带到其他域名下的当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域当前页面url被请求页面url是否跨域原因。
多域名站点共享COOKIE
01-08 3925
p.s. 架构轻盈,效果实现 问题描述:在一个比较复杂的网站环境下。有多个产品向外提供服务。每个产品下都有自己的用户登录界面。现在需要设计一个统一的登录界面。 当用户在这个界面登录后就可以自由的使用各个产品和服务。同时意味着用户用一个帐号可以在不同服务里登录,另一方面就是在一个服务里面登录后可以无障碍的 漫游到其他服务里面去。 实际应用:Sohu的Passport将focus.cn,17173.c
cookie跨域共享的实现方案
automannn
07-23 3306
由于工作需要,花费了较多的时间处理跨域的问题,未避免遗忘,特此记录。 1.跨域的场景: 第一种:协议不同; 第二种: 域名不同; 第三种:端口不同; 2.跨域的关键点: 首先,跨域(CORS)需要浏览器和服务器同时支持; 其次,跨域的安全性,由浏览器全权负责; 最后,跨域通信如果需要带Cookie,需要双方都同意; 3.后台跨域的处理: 基于springmvc的后台,在webMvcHandlerAdapter设置Cors放...
基于 Cookie 的信息共享机制
code袁的博客
11-24 1352
基于 Cookie 的信息共享机制 1. 基于 Cookie 的客户端本地信息凭证存储机制 Cookie——在客户机上存储的、与服务器通信而存储的状态、安全等信息,其格式为文本文件。 2.Cookie 产生、存储与再利用的基本过程 用户通过浏览器发送 request. 针对用户请求,服务器端 jsp 脚本根据需要可以创建 Cookie 信息,经 response 发给客户浏览器. 客户浏览器,在本机中存储相应的 cookie 信息; 当该客户发起另一个 request 时,在 http 请求的 heade
Cookie实现数据共享
想要成为大佬的彪彪
06-05 2297
一.介绍 1)Cookie来自于Servlet规范中一个工具类,存在于Tomcat提供servlet-api.jar中 2)如果两个Servlet来自于同一个网站,并且为同一个浏览器/用户提供服务,此时这两个Servlet便可以借助于Cookie对象进行数据共享(注意此处的前提条件更加严格了,与我们介绍的第一个ServletContext接口不同的是,此处不但要求两个Servlet来自于同一个网站,同时还需要这两个Servlet服务于同一个用户或者浏览器) 3) Cookie存放当前用户的私人数据
Cookie跨域吗?如何设置?
小草莓的博客
11-09 2253
在以上代码中,fetch 请求中的 credentials 设置为 include,并且响应头中设置 Access-Control-Allow-Credentials 为 true,就可以实现 Cookie跨域访问。对于跨域请求,在客户端需要明确指定携带 Cookie,可以通过 XMLHttpRequest 对象或 Fetch API 的 credentials 属性进行设置。在一般情况下,Cookie 是不允许跨域的。跨域设置 Cookie 只能在响应中设置,而不能在请求中设置。
【解决方案】跨域共享cookie
legendaryhaha的博客
01-02 1902
【解决方案】跨域共享信息层级关系的域名的信息共享无层级关系的域名的信息共享 层级关系的域名的信息共享 首先,我们需要知道cookie的作用的域名是domain本身及domain下的所有子域名。 以test.la,login.test.la,article.test.la为例,login.test.la,article.test.la作为test.la的子域名,在跨域共享信息的时候,我们只需要将需要共享的信息放置于test.la域名下即可。 譬如共享登录信息,在通过login.test.la域名登录后,将登
Cookie详解与跨域问题
咖啡男孩之SRE之路
11-23 6657
Http是无状态的协议,客户端每次对服务端的http请求都是独立的,不受该客户端其它的请求的影响。 为了把Http这个无状态协议变的与上下文有关系,我们引入了会话(Session)的概念,具有相同会话ID的请求使之变成了有状态。 服务端可以给请求setSession的信息,信息保存在服务端内存,同时在response时将session内容推送给客户端浏览器,浏览器为了保存SessionID等信息,又有了Cookie这玩意,Cookie本质是一块存储少量数据的存储空间,可以存到内存也可以写入磁盘。每次浏览器向
解决跨域cookie共享
我有一个梦想
10-20 1718
首先了解一下cookie,cookie有三种类型。   第一种,当setcookie不设置过期时间时,cookie保存在客户端内存中。关闭浏览器即实效。也叫 会话cookie, 第二种是设置了过期时间。cookie保存在客户端的硬盘中,只有cookie过期的时候才过期,存在硬盘中的cookie,不同的浏览器进程可以共享。比如一般网站的自动登陆功能。(上次做联想问吧的时候有一个自动登陆...
跨域怎么共享cookie
05-10
跨域共享 cookie 是一个非常复杂的问题,因为浏览器出于安全考虑,不允许标准的跨域 cookie 共享。但是,可以通过以下几种方式来实现跨域 cookie 共享: 1. 使用同一顶级域名下的不同子域名。例如,如果你有两个网站,一个是 abc.example.com,另一个是 xyz.example.com,它们可以通过设置 cookie 的 domain 属性为“.example.com” 来实现跨域 cookie 共享。 2. 使用 JSONP 或 CORS 技术。JSONP 是一种通过动态创建 script 标签实现跨域通信的技术,而 CORS 则是一种通过服务器端设置 Access-Control-Allow-Origin 头实现跨域通信的技术。两种技术都可以实现跨域 cookie 共享。 3. 使用第三方 cookie。第三方 cookie 是指来自不同域名的 cookie,例如,如果你有两个网站 A 和 B,它们都使用了来自第三方域名 C 的 cookie,那么它们就可以通过 C 域名下的 cookie 实现跨域 cookie 共享。但是,需要注意的是,现在许多浏览器都禁止了第三方 cookie,所以这种方法的可行性受到了限制。 总的来说,跨域 cookie 共享是一个非常复杂的问题,需要根据具体情况选择合适的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值