1.cookie与session的关系
Session 信息都是放在内存的,第一次创建Session的时候,服务端会在 Cookie 里面记录一个Session ID,以JSESSIONID的方式来保存,以后每次请求把这个会话ID发送到服务器,根据Session ID服务器就知道是谁了,所以session相对是安全的(Session ID可以被劫持与伪造,所以Session ID不能是固定的),倘若Cookie被禁用,那么需要url重写来解决该问题(
在路径后面自动拼接sessionId)。
url重写:String path = resp.encodeURL("path")(转发);String path = response.encodeRedirectURL("path")(重定向);
Session ID防止被劫持
方式1:每次在接受Session ID后进行销毁,然后将其中的数据保存在新的Session,也不是很可靠,只是相对可靠,可以利用间隙时间劫持
方式2:设置httpOnly属性,httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat >6.0.19或者>5.5.28的版本才支持httpOnly属性
使用方法
<Context useHttpOnly="true"> ... </Context>
或
response.setHeader( "Set-Cookie", "name=value; HttpOnly");
2. session跨域
原因:默认session是不能跨域的
什么是域
在应用模型,一个完整的,有独立访问路径的功能集合称为一个域。例如百度下的若干的域,如:搜索引擎(www.baidu.com),百度贴吧(tie.baidu.com),百度知道(zhidao.baidu.com),百度地图(map.baidu.com)等。域信息,有时也称为多级域名。域的划分: 以IP,端口,域名,主机名为标准,实现划分。
什么是跨域
客户端请求的时候,请求的服务器,不是同一个IP,端口,域名,主机名的时候,都称为跨域。
什么是session跨域
Session跨域就是摒弃了系统(Tomcat)提供的Session,而使用自定义的类似Session的机制来保存客户端数据的一种解决方案。
实现方法的原理
通过设置cookie的domain来实现cookie的跨域传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务端进行保存(数据库保存或NoSQL保存)。这种机制就是Session的跨域解决。
代码实现
@RequestMapping("/test")
public String test(HttpServletRequest request, HttpServletResponse response){
//cookieName名
String cookieName="custom_global_session_id";
String encodeString="UTF-8";
//获取cookieName名对应的cookieValue的值
String cookieValue = CookieUtils.getCookieValue(request, cookieName, encodeString);
//假如为null或者“”,使用UUID随机产生一个32位的随机字符串
if(null == cookieValue || "".equals(cookieValue.trim())){
System.out.println("无cookie,生成新的cookie数据");
cookieValue = UUID.randomUUID().toString();
}
// 根据cookieValue访问数据存储,获取客户端数据。
CookieUtils.setCookie(request, response, cookieName, cookieValue, 0, encodeString);
return "/ok.jsp";
}
public static String getCookieValue(HttpServletRequest request, String cookieName, String encodeString) {
Cookie[] cookieList = request.getCookies();
if (cookieList == null || cookieName == null) {
return null;
}
String retValue = null;
try {
for (int i = 0; i < cookieList.length; i++) {
if (cookieList[i].getName().equals(cookieName)) {
retValue = URLDecoder.decode(cookieList[i].getValue(), encodeString);
break;
}
}
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
return retValue;
}
public static void setCookie(HttpServletRequest request, HttpServletResponse response, String cookieName,
String cookieValue, int cookieMaxage, String encodeString) {
doSetCookie(request, response, cookieName, cookieValue, cookieMaxage, encodeString);
}
private static final void doSetCookie(HttpServletRequest request, HttpServletResponse response,
String cookieName, String cookieValue, int cookieMaxage, String encodeString) {
try {
if (cookieValue == null) {
cookieValue = "";
} else {
cookieValue = URLEncoder.encode(cookieValue, encodeString);
}
Cookie cookie = new Cookie(cookieName, cookieValue);
if (cookieMaxage > 0)
cookie.setMaxAge(cookieMaxage);
if (null != request) {// 设置域名的cookie
String domainName = getDomainName(request);//获取域名
if (!"localhost".equals(domainName)) {
cookie.setDomain(domainName);//domain的含义为域
}
}
cookie.setPath("/");//可在同一应用服务器内共享方法,可以在webapp文件夹下的所有应用共享cookie
response.addCookie(cookie);
} catch (Exception e) {
e.printStackTrace();
}
}
private static final String getDomainName(HttpServletRequest request) {
String domainName = null;
// 获取完整的请求URL地址。
String serverName = request.getRequestURL().toString();
if (serverName == null || serverName.equals("")) {
domainName = "";
} else {
serverName = serverName.toLowerCase();
if (serverName.startsWith("http://")){
serverName = serverName.substring(7);
} else if (serverName.startsWith("https://")){
serverName = serverName.substring(8);
}
final int end = serverName.indexOf("/");
// .test.com www.test.com.cn/sso.test.com.cn/.test.com.cn spring.io/xxxx/xxx
serverName = serverName.substring(0, end);
final String[] domains = serverName.split("\.");
int len = domains.length;
if (len > 3) {
domainName = "." + domains[len - 3] + "." + domains[len - 2] + "." + domains[len - 1];
} else if (len <= 3 && len > 1) {
domainName = "." + domains[len - 2] + "." + domains[len - 1];
} else {
domainName = serverName;
}
}
if (domainName != null && domainName.indexOf(":") > 0) {
String[] ary = domainName.split("\:");
domainName = ary[0];
}
return domainName;
}
备注:
set-cookie虽然在响应头中存在,但是在跨域的时候出于安全考虑,该头会被浏览器忽略,并不会产生真实的cookie,而Cookie 的domain属性设置域之后,那么子域可以访问父域的cookie,而父域不可以访问子域的cookie,可以说cookie的domain访问权限是向下继承的,当然其它域名跨域名访问也是不可以的。注意:倘若将domain设置为com.cn,但是f.com.cn是不会接收domain为com.cn的cookie,domain设置为b.e.f.com.cn或.b.e.f.com.cn没有区别,session是保存在内存中的,由Session ID取值。跨域设计的思想也是子域可以访问父域。
而session共享是通过cookie.setPath("/")设置;//可在同一应用服务器内共享方法,可以在webapp文件夹下的所有应用共享cookie