Cookie原理及应用场景

一、概念理解

1.什么是Cookie？

Cookie 是在HTTP协议下，服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web服务器保存在用户浏览器（客户端）上的小文本文件(内容通常经过加密)，它可以包含有关用户的信息。无论何时用户链接到服务器，Web站点都可以访问Cookie 信息,可以看作是浏览器缓存。

2.创建流程图

Cookie的分发是通过扩展HTTP协议来实现的，服务器端通过在HTTP的响应由中加上一行特殊的指示以提示浏览器按照指示生成相应的Cookie。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

1).创建Cookie

ResponseCookie cookie = WebUtils.createResponseCookie(name, value, httpOnly, expiry, path ,domain);

2).通知浏览器保存修改Cookie

response.addHeader("Set-Cookie", cookie.toString());

3.Cookie属性描述

Cookie的内容主要包括name(名字)、value(值)、maxAge(失效时间)、path(路径)，domain(域)和secure

属性	描述
Name	cookie的名字，一旦创建，名称不可更改
Value	cookie的值，如果值为Unicode字符，需要为字符编码。如果为二进制数据，则需要使用BASE64编码
Domain	cookie生效的域，可以访问该Cookie的域名。第一个字符必须为"."，如果设置为".yonisv.com"，则所有以"yonisv.com结尾的域名都可以访问该cookie"，如果不设置，则为所有域名
Path	该cookie的使用路径。如果设置为"/sessionWeb/"，则只有ContextPath为“/sessionWeb/”的程序可以访问该cookie。如果设置为“/”，则本域名下ContextPath都可以访问该cookie
Expires/Max-Age	cookie失效时间，单位秒。如果为正数，则该cookie在maxAge后失效。如果为负数，该cookie为临时cookie，关闭浏览器即失效，浏览器也不会以任何形式保存该cookie。如果为0，表示删除该cookie。默认为-1
Size	此cookie的大小
HttpOnly	是否允许JS获取（false表示可以允许JS获取）
Secure	该cookie是否仅被使用安全协议传输

二、应用场景

Cookie最大的特点是自动随该域下的请求带在request header的Cookie字段里，而无需额外的JS操作，在做通用的登录认证系统的时候有着天然的优势。
Cookie有httpOnly属性，可以防止XSS攻击，安全性比其他存储更有保障。
服务端在控制页面跳转的时候可以不通过JS方便的进行少量值的传递，控制页面的展示。
静态资源CDN之所以放在非主域名下，很大一部分原因在于可以无需携带相关Cookie，减少流量损耗。

三、扩展示例

1.服务端把cookie写到客户端

把常用的属性写入指定域下的请求request header的Cookie字段里，而无需额外的JS操作。

    /***  本地测试：http://local.yonisv.com:8080/isv/rest/cookies/test*/@RequestMapping("/cookies/test")public void testSetCookies(HttpServletRequest request, HttpServletResponse response){String userIdCookieKey = "zs_userId";// keyString userIdCookieValue = "11111111";//对应的value值Boolean httpOnly = false; //设置成false前端才可以获取值long expiry = -1; //-1长期有效，0无效(相当于删除)String cookieDomain = "yonisv.com";String path = "/";ResponseCookie cookie1= WebUtils.createResponseCookie(userIdCookieKey, userIdCookieValue, httpOnly, expiry, path,cookieDomain);response.addHeader(HttpHeaders.SET_COOKIE, cookie1.toString());ResponseCookie cookie2 = WebUtils.createResponseCookie("zs_name", "张三", httpOnly, expiry, path,cookieDomain);response.addHeader(HttpHeaders.SET_COOKIE, cookie2.toString());}

最好把上面的方法放到
com.yonyou.ucf.mdf.app.controller.isv.AuthController#authByUnifyCode 方法里，因为前端脚手架会请求该请求

测试访问：

因为我们前端脚手架封装了获取Cookie属性的方法，可以直接获取：

cb.utils.getCookie('zs_userId');

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-p2RbLa89-1640744000458)(images/cookie5.png)]

2.服务端获取客户端cookie

可以通过拦截器，获取cookie里信息，初始化到上下文中

 /***  本地测试：http://local.yonisv.com:8080/isv/rest/getCookies/test*/@RequestMapping("/getCookies/test")public void getCookies(HttpServletRequest request, HttpServletResponse response){String yht_access_token  = "yht_access_token";String yht_userId  = "zs_userId";// 根据自己的业务coding。比如放到拦截器中，可以把从浏览器中获取其他域的Cookie放到上下文中或其他业务操作Cookie[] allCookies = request.getCookies();if(allCookies != null){//从中取出指定的cookie值Cookie isvUserIdCookie = Arrays.stream(allCookies).filter(cookie -> yht_userId.equals(cookie.getName())).findAny().orElse(null);String userId = isvUserIdCookie.getValue();System.err.println("userId:"+userId);Cookie isvTokenCookie = Arrays.stream(allCookies).filter(cookie -> yht_access_token.equals(cookie.getName())).findAny().orElse(null);String token = isvTokenCookie.getValue();System.err.println("token:"+token);}}