对于最新稳定版本,请使用 Spring Session 4.0.2spring-doc.cadn.net.cn

Spring Session - 自定义Cookie

此指南描述了如何使用 Java 配置将 Spring Session 配置为使用自定义 Cookie。 本指南假定您已经通过选择的数据存储在项目中设置了 Spring Session。例如,与 Redis 的 HttpSessionspring-doc.cadn.net.cn

您可以在自定义Cookie示例应用中找到完成的指南。

一旦您已经设置了Spring Session,可以通过暴露一个CookieSerializer作为Spring bean来自定义会话cookie的写入方式。 Spring Session自带了DefaultCookieSerializer。 当使用配置如@EnableRedisHttpSession时,暴露DefaultCookieSerializer作为Spring bean可以增强现有的配置。 以下示例展示了如何自定义Spring Session的cookie:spring-doc.cadn.net.cn

	@Bean
	public CookieSerializer cookieSerializer() {
		DefaultCookieSerializer serializer = new DefaultCookieSerializer();
		serializer.setCookieName("JSESSIONID"); (1)
		serializer.setCookiePath("/"); (2)
		serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); (3)
		return serializer;
	}
1 我们自定义cookie的名字为JSESSIONID
2 我们自定义了cookie的路径为/(而不是默认的上下文根路径)。
3 我们自定义域名模式(正则表达式)为 ^.?\\.(\\w\\.[a-z]+)$。 这允许在不同域和应用程序之间共享会话。 如果正则表达式不匹配,则不设置域名,而是使用现有域名。 如果正则表达式匹配,则使用第一个 分组 作为域名。 这意味着对 child.example.com 的请求会将域名设置为 example.com。 然而,对 localhost:8080/192.168.1.100:8080/ 的请求不会设置 Cookie,因此在开发环境中无需任何更改即可正常工作,同时也适用于生产环境。
您应该仅匹配有效的域名字符,因为域名会在响应中被反映出来。 这样做可以防止恶意用户执行如HTTP响应拆分等攻击。

以下配置选项可用:spring-doc.cadn.net.cn

  • cookieName: 使用的cookie名称。 默认值: SESSION.spring-doc.cadn.net.cn

  • useSecureCookie: 指定是否应使用安全cookie。 默认值:创建时使用HttpServletRequest.isSecure()的值。spring-doc.cadn.net.cn

  • cookiePath: Cookie 的路径。 默认值:上下文根路径。spring-doc.cadn.net.cn

  • cookieMaxAge: 指定在会话创建时设置的cookie的最大年龄。 默认值: -1, 表示当浏览器关闭时应移除cookie。spring-doc.cadn.net.cn

  • jvmRoute: 指定一个后缀附加到会话ID并包含在cookie中。 用于识别将哪个JVM路由给会话亲和性。 使用某些实现(例如,Redis)时,此选项不会提供性能优势。 但是,它可以帮助跟踪特定用户的日志记录。spring-doc.cadn.net.cn

  • domainName: 允许指定用于cookie的特定域名。此选项易于理解,但在开发环境和生产环境中通常需要不同的配置。
    请参阅 domainNamePattern 作为替代方案。spring-doc.cadn.net.cn

  • domainNamePattern: 一个不区分大小写的模式,用于从HttpServletRequest#getServerName()中提取域名。 该模式应提供一个分组,用于提取 cookie 域名的值。如果正则表达式没有匹配,则不设置域,并使用现有域名; 如果正则表达式匹配,则第一个分组被用作域名。spring-doc.cadn.net.cn

  • sameSite: The value for the 123. Default: Laxspring-doc.cadn.net.cn

您应该仅匹配有效的域名字符,因为域名会在响应中被反映出来。 这样做可以防止恶意用户执行如HTTP响应拆分等攻击。

此部分描述了如何使用custom-cookie示例应用程序。spring-doc.cadn.net.cn

运行custom-cookie示例应用程序

您可以运行示例程序,通过获取源代码并执行以下命令来实现:spring-doc.cadn.net.cn

$ ./gradlew :spring-session-sample-javaconfig-custom-cookie:tomcatRun
为了使示例正常工作,您必须在本地主机上安装 Redis 2.8+ 并使用默认端口(6379)运行它。 或者,您可以更新 RedisConnectionFactory 指向一个 Redis 服务器。 另一个选项是使用 Docker 在本地主机上运行 Redis。有关详细说明,请参阅 Docker Redis 存储库

您应该能够通过以下地址访问应用:localhost:8080/spring-doc.cadn.net.cn

探索custom-cookie示例应用程序

现在您可以使用应用程序。请填写以下信息:spring-doc.cadn.net.cn

现在点击 设置属性 按钮。 您应该会看到值在表格中显示。spring-doc.cadn.net.cn

如果查看应用程序的 Cookies,你会发现这个 Cookie 被保存到了自定义名称为 JSESSIONIDspring-doc.cadn.net.cn