如何在Spring Boot中使用Cookies
读取HTTP Cookie
Spring框架提供 @cookieValue 注释来获取HTTP cookie的值,此注解可直接用在控制器方法参数中
@GetMapping("/")
public String readCookie(@CookieValue(value = "username",
defaultValue = "Atta") String username) {
return "Hey! My username is " + username;
}
在上述代码中,defaultValue=“Atta”。如果有默认值,并且没有找到username的Cookie,Spring将抛出java.lang.IllegalStateException异常。
设置HTTP Cookie
要在Spring Boot中设置cookie,我们可以使用 HttpServletResponse类的方法addCookie()。您需要做的就是创建一个新的Cookie对象并将其添加到响应中。
@GetMapping("/change-username")
public String setCookie(HttpServletResponse response) {
// 创建一个 cookie对象
Cookie cookie = new Cookie("username", "Jovan");
//将cookie对象加入response响应
response.addCookie(cookie);
return "Username is changed!";
}
读取所有Cookie[]
除了使用==@CookieValue注解,我们还可以使用HttpServletRequest类作为控制器方法参数来读取所有cookie。此类提供了getCookies()==方法,该方法以数组形式返回浏览器发送的所有cookie。
@GetMapping("/all-cookies")
public String readAllCookies(HttpServletRequest request) {
Cookie[] cookies = request.getCookies();
if (cookies != null) {
return Arrays.stream(cookies)
.map(c -> c.getName() + "=" + c.getValue())
.collect(Collectors.joining(", "));
}
return "No cookies";
}
为Cookie设置过期时间
如果没有为cookie指定过期时间,则其生命周期将持续到Session过期为止。这样的cookie称为会话cookie。会话cookie保持活动状态,直到用户关闭其浏览器或清除其cookie。但是您可以覆盖此默认行为,并使用类的 setMaxAge() 方法设置cookie的过期时间。
// 创建一个 cookie对象
Cookie cookie = new Cookie("username", "Jovan");
cookie.setMaxAge(7 * 24 * 60 * 60); // 7天过期
//将cookie对象加入response响应
response.addCookie(cookie);
现在,usernameCookie不会因为Seesion结束到期,而是会在接下来的7天保持有效。传递给setMaxAge()方法的到期时间以秒为单位。到期日期和时间是相对于设置cookie的客户端而不是服务器而言的。
Https与Cookie
我们需要了解一个概念:什么的安全的Cookies?安全的cookie是仅可以通过加密的HTTPS连接发送到服务器的cookie。无法通过未加密的HTTP连接将cookie发送到服务器。也就是说,如果设置了setSecure(true),该Cookie将无法在Http连接中传输,只能是Https连接中传输。
// 创建一个 cookie对象
Cookie cookie = new Cookie("username", "Jovan");
cookie.setSecure(true); //Https 安全cookie
//将cookie对象加入response响应
response.addCookie(cookie);
HttpOnly Cookie
HttpOnly cookie用于防止跨站点脚本(XSS)攻击,也就是说设置了Http Only的Cookie不能通过JavaScript的 Document.cookieAPI 访问,仅能在服务端由服务器程序访问。
// 创建一个 cookie对象
Cookie cookie = new Cookie("username", "Jovan");
cookie.setHttpOnly(true); //不能被js访问的Cookie
//将cookie对象加入response响应
response.addCookie(cookie);
删除Cookie
要删除Cookie,需要将 Max-Age 设置为0,并且将Cookie的值设置为null。不要将 Max-Age 指令值设置为-1负数。否则,浏览器会将其视为会话cookie。
// 将Cookie的值设置为null
Cookie cookie = new Cookie("username", null);
//将`Max-Age`设置为0
cookie.setMaxAge(0);
response.addCookie(cookie);
转载自以下博客:https://www.cnblogs.com/xichji/p/11793439.html