Cookie与Session 实现登录操作

于 2024-07-25 13:02:41 发布
阅读量659 收藏 14
点赞数 18
分类专栏: Spring 文章标签: spring boot 后端 java spring Cookie Session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oageux/article/details/140686832
版权

Cookie

Cookie 是网络编程中使用最广泛的一项技术,主要用于辨识用户身份。

客户端(浏览器)与网站服务端通讯的过程如下图所示:

img

从图中看,服务端既要返回 Cookie 给客户端,也要读取客户端提交的 Cookie。所以本节课主要学习服务端 Spring 工程是如何使用 Cookie 的,有两种操作。

浏览器如何使用 Cookie ,在《Java 网络编程》课程中讲解。

读 Cookie

control 类的方法增加一个 HttpServletRequest 参数,通过 request.getCookies() 取得 cookie 数组。然后再循环遍历数组即可。(下列演示代码省略循环代码)

系统会自动传入方法参数所需要的 HttpServletRequest 对象哦

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;

@RequestMapping("/songlist")
public Map index(HttpServletRequest request) {
  Map returnData = new HashMap();
  returnData.put("result", "this is song list");
  returnData.put("author", songAuthor);

  Cookie[] cookies = request.getCookies();
  returnData.put("cookies", cookies);

  return returnData;
}

请看代码演示:

从浏览器输出结果可以看到,打印出了所有的 Cookie 数据。

cookie 有很多属性值,各属性值的作用请 点击查看文档

使用注解读取 cookie

如果知道 cookie 的名字,就可以通过注解的方式读取,不需要再遍历 cookie 数组了,更加方便。

control 类的方法增加一个 @CookieValue("xxxx") String xxxx 参数即可,注意使用时要填入正确的 cookie 名字。

系统会自动解析并传入同名的 cookie

import org.springframework.web.bind.annotation.CookieValue;

@RequestMapping("/songlist")
public Map index(@CookieValue("JSESSIONID") String jSessionId) {
  Map returnData = new HashMap();
  returnData.put("result", "this is song list");
  returnData.put("author", songAuthor);
  returnData.put("JSESSIONID", jSessionId);

  return returnData;
}

请看代码演示:

注意:如果系统解析不到指定名字的 cookie,使用此注解就会报错。必须谨慎使用。

写 Cookie

同样,也很简单。为 control 类的方法增加一个 HttpServletResponse 参数,调用 response.addCookie() 方法添加 Cookie 实例对象即可。

系统会自动传入方法参数所需要的 HttpServletResponse 对象哦

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;

@RequestMapping("/songlist")
public Map index(HttpServletResponse response) {
  Map returnData = new HashMap();
  returnData.put("result", "this is song list");
  returnData.put("name", songName);

  Cookie cookie = new Cookie("sessionId","CookieTestInfo");
  // 设置的是 cookie 的域名,就是会在哪个域名下生成 cookie 值
  cookie.setDomain("youkeda.com");
  // 是 cookie 的路径,一般就是写到 / ,不会写其他路径的
  cookie.setPath("/");
  // 设置cookie 的最大存活时间,-1 代表随浏览器的有效期,也就是浏览器关闭掉,这个 cookie 就失效了。
  cookie.setMaxAge(-1);
  // 设置是否只能服务器修改,浏览器端不能修改,安全有保障
  cookie.setHttpOnly(false);
  response.addCookie(cookie);

  returnData.put("message", "add cookie successful");
  return returnData;
}

Cookie 的各个属性的作用,注意看代码注释哦

注意,Cookie 类的构造函数,第一个参数是 cookie 名称,第二个参数是 cookie 值。而且其他的属性,需要根据实际情况和具体的业务需求决定。

Spring Session API

Cookie 放在客户端,可以存储用户登录信息,主要用于辨识用户身份。

但如果真的把用户ID登录状态等重要信息放入 cookie,会带来安全隐患,因为网络上很不安全,cookie可能会拦截、甚至伪造。

采用 Session 会话机制可以解决这个问题,用户ID登录状态等重要信息不存放在客户端,而是存放在服务端,从而避免安全隐患。

使用会话机制时,Cookie 作为 session id 的载体与客户端通信。上一节课演示代码中,Cookie 中的 JSESSIONID 就是这个作用。

名字为 JSESSIONID 的 cookie,是专门用来记录用户session的。JSESSIONID 是标准的、通用的名字。

在了解 SessionCookie 之间的关系后,我们来学习如何使用 Session,也分为读、写两种操作。

读操作

cookie 相似,从 HttpServletRequest 对象中取得 HttpSession 对象,使用的语句是 request.getSession()

但不同的是,返回结果不是数组,是对象。在 attribute 属性中用 key -> value 的形式存储多个数据。

假设存储登录信息的数据 keyuserLoginInfo,那么语句就是 session.getAttribute("userLoginInfo")

登录信息类

登录信息实例对象因为要在网络上传输,就必须实现序列化接口 Serializable ,否则不实现的话会报错。

登录信息类需要根据具体的需要设计属性字段。下列代码的两个属性仅供演示。

import java.io.Serializable;

public class UserLoginInfo implements Serializable {
  private String userId;
  private String userName;
}

操作代码

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

@RequestMapping("/songlist")
public Map index(HttpServletRequest request, HttpServletResponse response) {
  Map returnData = new HashMap();
  returnData.put("result", "this is song list");

  // 取得 HttpSession 对象
  HttpSession session = request.getSession();
  // 读取登录信息
  UserLoginInfo userLoginInfo = (UserLoginInfo)session.getAttribute("userLoginInfo");
  if (userLoginInfo == null) {
    // 未登录
    returnData.put("loginInfo", "not login");
  } else {
    // 已登录
    returnData.put("loginInfo", "already login");
  }

  return returnData;
}

这里实际上取不到数据,因为还没有写入。

写操作

假设登录成功,怎么记录登录信息到 Session 呢?

既然从 HttpSession 对象中读取登录信息用的是 getAttribute() 方法,那么写入登录信息就用 setAttribute() 方法。

下列代码演示了使用 Session 完成登录的过程,略去了校验用户名和密码的步骤(实际项目中需要):

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

@RequestMapping("/loginmock")
public Map loginMock(HttpServletRequest request, HttpServletResponse response) {
  Map returnData = new HashMap();

  // 假设对比用户名和密码成功
  // 仅演示的登录信息对象
  UserLoginInfo userLoginInfo = new UserLoginInfo();
  userLoginInfo.setUserId("12334445576788");
  userLoginInfo.setUserName("ZhangSan");
  // 取得 HttpSession 对象
  HttpSession session = request.getSession();
  // 写入登录信息
  session.setAttribute("userLoginInfo", userLoginInfo);
  returnData.put("message", "login successful");

  return returnData;
}

额外知识点

Cookie 存放在客户端,一般不能超过 4kb ,要特别注意,放太多的内容会导致出错;而 Session 存放在服务端,没有限制,不过基于服务端的性能考虑也不能放太多的内容。

Spring Session 配置

上面学了Session 的操作,在操作中,没有涉及到 cookie。系统会自动把默认的 JSESSIONID 放在默认的 cookie 中。

Cookie 作为 session id 的载体,也可以修改属性。

前置知识点:配置

第 6 章我们讲了 application.propertiesSpringBoot 的标准配置文件,配置一些简单的属性。同时,SpringBoot 也提供了编程式的配置方式,主要用于配置 Bean

基本格式:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class SpringHttpSessionConfig {
  @Bean
  public TestBean testBean() {
    return new TestBean();
  }
}

在类上添加 @Configuration 注解,就表示这是一个配置类,系统会自动扫描并处理。

在方法上添加 @Bean 注解,表示把此方法返回对象实例注册成 Bean

@Service 等写在类上的注解一样,都表示注册 Bean

Session 配置

依赖库

先在 pom.xml 文件中增加依赖库:

<!-- spring session 支持 -->
<dependency>
    <groupId>org.springframework.session</groupId>
    <artifactId>spring-session-core</artifactId>
</dependency>

配置类

在类上额外添加一个注解:@EnableSpringHttpSession ,开启 session 。然后,注册两个 bean

  • CookieSerializer:读写 Cookies 中的 SessionId 信息
  • MapSessionRepository:Session 信息在服务器上的存储仓库。
import org.springframework.session.MapSessionRepository;
import org.springframework.session.config.annotation.web.http.EnableSpringHttpSession;
import org.springframework.session.web.http.CookieSerializer;
import org.springframework.session.web.http.DefaultCookieSerializer;

import java.util.concurrent.ConcurrentHashMap;

@Configuration
@EnableSpringHttpSession
public class SpringHttpSessionConfig {
  @Bean
  public CookieSerializer cookieSerializer() {
    DefaultCookieSerializer serializer = new DefaultCookieSerializer();
    serializer.setCookieName("JSESSIONID");
    // 用正则表达式配置匹配的域名,可以兼容 localhost、127.0.0.1 等各种场景
    serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$");
    serializer.setCookiePath("/");
    serializer.setUseHttpOnlyCookie(false);
    // 最大生命周期的单位是秒
    serializer.setCookieMaxAge(24 * 60 * 60);
    return serializer;
  }

  // 当前存在内存中
  @Bean
  public MapSessionRepository sessionRepository() {
    return new MapSessionRepository(new ConcurrentHashMap<>());
  }
}

想必大家已经了解了 Cookie 各属性值的作用,这里就不赘述了。

这段代码有些长,是 Spring 官方推荐的比较标准的写法:点此阅读官方文档。当前的重点是学习如何使用。

Spring Request 拦截器

在上节课的练习中我们模拟了用户登录以及提供了查询登录状态的方法。
在实际的项目中,会有大量的页面功能是需要判断用户是否登录的。例如电商的网站,订单、购物车、管理收货地址等等,都需要登录。那么让每一个页面都判断是否登录、未登录跳转到登录页,就太繁琐了,也不利于维护。
所以需要一种统一处理相同逻辑的机制,Spring 提供了 HandlerInterceptor(拦截器)满足这种场景的需求。

实现拦截器也不同负责,有三个步骤:

一、创建拦截器

拦截器必须实现 HandlerInterceptor 接口。可以在三个点进行拦截:

  1. Controller方法执行之前。这是最常用的拦截点。例如是否登录的验证就要在 preHandle() 方法中处理。
  2. Controller方法执行之后。例如记录日志、统计方法执行时间等,就要在 postHandle() 方法中处理。
  3. 整个请求完成后。不常用的拦截点。例如统计整个请求的执行时间的时候用,在 afterCompletion 方法中处理。

请看下列示例代码:

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

public class InterceptorDemo implements HandlerInterceptor {

  // Controller方法执行之前
  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

    // 只有返回true才会继续向下执行,返回false取消当前请求
    return true;
  }

  //Controller方法执行之后
  @Override
  public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
      ModelAndView modelAndView) throws Exception {

  }

  // 整个请求完成后(包括Thymeleaf渲染完毕)
  @Override
  public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

  }
}
preHandle()` 方法的参数中有 `HttpServletRequest` 和 `HttpServletResponse`,可以像 `control` 中一样使用 `Session

二、实现 WebMvcConfigurer

创建一个类实现 WebMvcConfigurer,并实现 addInterceptors() 方法。这个步骤用于管理拦截器。

注意:实现类要加上 @Configuration 注解,让框架能自动扫描并处理。

管理拦截器,比较重要的是为拦截器设置拦截范围。常用 addPathPatterns("/**") 表示拦截所有的 URL

当然也可以调用 excludePathPatterns() 方法排除某些 URL,例如登录页本身就不需要登录,需要排除。

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebAppConfigurerDemo implements WebMvcConfigurer {

  @Override
  public void addInterceptors(InterceptorRegistry registry) {
    // 多个拦截器组成一个拦截器链
    // 仅演示,设置所有 url 都拦截
    registry.addInterceptor(new UserInterceptor()).addPathPatterns("/**");
  }
}

学习拦截器,要注意理解和体会 拦截器管理拦截器 分开的思想。思考一下:如果不分开处理,由拦截器本身决定在什么情况下进行拦截,是否更好?

通常拦截器,会放在一个包(例如interceptor)里。而用于管理拦截器的配置类,会放在另一个包(例如config)里。

这种按功能划分子包的方式,可以让阅读者比较直观、清晰的了解各个类的作用。

oageux
关注
  • 18
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
session实现html登录,用cookiesession实现用户登录功能
weixin_39988888的博客
06-09 2940
共用到两个页面,一个是用户登录页面login.php,一个是用户登录成功后打开的后台管理页面amdin.php,代码分别如下:1、用户登录页面代码:html>content="width=device-width,user-scalable=no,initial-scale=1.0,maximum-scale=1.0,minimum-scale=1.0">用户登录">用户...
session+cookie简单讲解以及持久化登录实现
AKGWSB 's blog
07-05 7066
目录前言持久化登录介绍cookiecookie介绍cookie携带账号密码?cookie存储登录标志?sessionsession简介session的生存周期session存储登录标志?cookie+session存储用户信息以区分用户注销代码实现实现思路登录验证后台程序 loginRecv.php登录成功页面 loginSuccessPage.php跳转页面subPage1.php注销服务程序 logoutRecv.php演示 前言 上次实现了一个最简单的登录功能,用到了mysql和php。【最简单的网页
CookieSession实现用户登录逻辑
yyhgo_的博客
01-03 3123
CookieSession实现用户登录逻辑
SpringMVC+Cookie+Session实现自动登录
ZZHMMD957
01-25 1万+
实现自动登录其实并不是特别的困难,下面来介绍我所实现的自动登录的一种方式,首先,必须提到CookieSessionCookie是保存在客户端的而Session是保存在服务端的,每次客户端通过游览器访问服务端的时候,会有一个JSESSIONID作为key值保存在Cookie中,服务端就这样区分每一个客户端的Session,在自动登录的时候,Cookie保存了用户名(自动保存JSESSIONID)
CookieSession实现保存登录状态免登录
热门推荐
a754895的博客
09-11 5万+
  首先CookieSession都是为了状态管理,HTTP协议是无状态的,不能保存每次提交的信息,即当服务器返回与请求相对应的应答之后,这次事务的所有信息就丢掉了。   如果用户发来一个新的请求,服务器无法知道它是否与上次的请求有联系。   对于那些需要多次提交数据才能完成的Web操作,比如登录来说,就成问题了。所以需要状态管理也就是通过CookieSession。 一.Cook...
客户端禁止 CookieSession怎么实现
qq_40649503的博客
05-03 1223
cookiesession的区别,禁用cookie那么session怎么实现
通过CookieSession实现网站中登录账号的功能
zhanlongsiqu的博客
11-09 2602
在浏览器中首次进行登录操作的时候,服务器会进行身份验证,验证通过后服务器会创建具有身份标识的会话信息(即session信息和sessionId)并将其保存到服务器哈希表中,然后通过响应将sessionId返回给客户端。客户端也会用Cookie中的键值对来保存身份标识sessionId(sessionId=……)。
CookieSession、Token 的区别与用途
ProgramNovice的博客
04-23 1283
CookieSession、Token 的区别与用途
CookieSession详解以及结合生成登录效果
申俏雅的博客
10-06 1032
引言 1.Cookie中的数据从哪来数据长啥样? 2.Cookie有什么作用? 3.cookiesession的工作关联? 4.Cookie到哪去? 5.Cookie如何存? 6.Session 7.CookieSession的关联与区别 8.通过代码理解 8.1 相关代码 8.2 观察现象 8.3 总结 9.Cookie结合Session实现登录效果 1.前端代码(简易版界面) 2.后端 3.现象 4.小结 get和post的区别在这里有介绍:
SessionCookie机制
m0_46246567的博客
11-18 1443
1. 引言 Web应用程序使用HTTP协议传输数据,HTTP超文本传输协议是一种用于分布式、协作式和超媒体信息系统的应用层协议,并且HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。并且理论上,一个用户的所有请求操作都应该属于同一个会话。要跟踪该会话,必须引入一种机制。 常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份
Django SessionCookie分别实现记住用户登录状态操作
09-16
在Django框架中,有两种主要方法可以实现这一功能:Django SessionCookie。理解这两者的工作原理和如何在Django中使用它们至关重要。 首先,让我们深入了解CookieCookie是由服务器发送到用户浏览器的一小段数据...
PHP cookiesession的使用与用户自动登录功能实现方法分析
10-16
在PHP开发中,CookieSession是两种常用的用户状态管理机制,它们在实现用户自动登录功能时扮演着关键角色。下面将详细介绍这两种技术的使用方法及其在自动登录中的应用。 **Cookie的使用** Cookie是由服务器发送...
Django中的cookiesession操作实例代码
10-19
在Django中,我们可以灵活地使用CookieSession实现用户状态管理,提高用户体验。在实际应用中,通常会结合使用两者,例如使用Cookie来存储用户ID,然后通过这个ID在服务器端的Session中查找并处理用户信息。
sessioncookie的内容.doc
01-26
当用户登录后,服务器会为该用户创建一个唯一的Session ID,并将其通过Cookie发送给客户端。客户端每次向服务器发送请求时,都会携带这个Session ID,服务器通过这个ID找到对应的Session数据,从而识别用户身份。...
Django cookiesession
12-20
本文将深入探讨Django中的CookieSession,以及如何在实际应用中使用它们。 首先,Cookie是存储在客户端(用户浏览器)上的小数据块,通常用于存储用户的一些非敏感信息,如会话ID或者用户偏好。当用户访问网站时...
spring boot】初学者项目快速练手
m0_67357141的博客
07-17 1058
快速生成一个初始的项目代码,会生成一个demo文件打开intellj idea,导入demo文件。
Spring Boot配置文件的语法规则
2301_77053417的博客
07-21 1007
名字是很固定的,必须是:application.properties或者application.yml,这两个都是配置文件的格式,一般我们使用其中一个即可(一般yml使用的较多)。(3)当项目中properties和yml都存在,并且里面的内容冲突时,会以properties中的为配置项,也就是其优先级更高。一般双引号里面的东西不会被被转义,单引号里面的会被转义,也就是\n在单引号下就只是一个串,在双引号下是换行。=左边的就是key,=右边的是value,在获取配置文件时,需要填入完整的key。
使用AOP优化Spring Boot Controller参数:自动填充常用字段的技巧
最新发布
todoitbo的博客
07-21 836
本篇博客将深入介绍如何利用AOP技术,在Spring Boot应用中实现对Controller保存方法参数的重写。我们将重点讨论如何利用AOP切面,自动填充常用字段(如创建时间、修改时间、创建人、修改人),以提高代码的重用性和可维护性。
Spring Boot应用的配置文件(application.properties或application.yml)指定应用连接MySQL数据库
kjl536566的博客
07-19 489
是两个重要的连接参数,尤其是在使用较新版本的MySQL数据库(如MySQL 8.0及以上)和MySQL Connector/J JDBC驱动时。属性指定了数据库的URL,包括主机名、端口号、数据库名以及一些可选的连接参数。是MySQL Connector/J 8.x及以上版本中的JDBC驱动类名。在早期的版本中,如MySQL Connector/J 5.x,驱动类名通常是。参数用于指定服务器的时区,这有助于解决因时区差异而导致的日期时间问题。分别指定了连接数据库所需的用户名和密码。
熟练使用CookieSession实现用户登录与退出操作
05-15
当用户登录时,我们可以使用 CookieSession 来记录用户信息,以便后续的操作。 使用 Cookie 实现用户登录: 1. 在用户登录成功后,服务器生成一个加密的字符串,作为用户的身份标识,并将该字符串写入 Cookie 中。 2. 在每次用户请求页面时,服务器会读取 Cookie 中的身份标识,以此来验证用户的登录状态。 使用 Session 实现用户登录: 1. 在用户登录成功后,服务器会为该用户创建一个 Session,将用户的身份信息存储在 Session 中。 2. 在每次用户请求页面时,服务器会读取 Session 中的用户信息,以此来验证用户的登录状态。 实现用户退出操作: 1. 对于使用 Cookie 的方式,可以在用户退出时,清除 Cookie 中的身份标识,以此来实现用户退出。 2. 对于使用 Session 的方式,可以在用户退出时,销毁该用户的 Session,以此来实现用户退出。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值