关于cookie和session的解释和学习本文就不赘述了,可以参考如下文章:
Cookie的介绍和使用
session的介绍和使用
在Servlet时代,大多数单系统应用想要实现登录的功能,基本都是依靠cookie、session、或者cookie+session的组合方式。如下的案例分别演示了单纯使用cookie、单纯使用session、组合使用cookie和session的方式。
首先需要新建一个Spring Boot工程,使用Maven作为依赖管理,如下是需要的依赖信息:
org.springframework.boot
spring-boot-starter-thymeleaf
org.springframework.boot
spring-boot-starter-web
org.projectlombok
lombok
true
org.springframework.boot
spring-boot-starter-test
test
为了演示登录页面,我们使用了thymeleaf,但不会过多地涉及其语法。
一、使用Cookie方式
@Slf4j
@Controller
public class CookieLoginController {
/**
* 用户信息主页
* @param userid
* @param username
* @param model
* @return
*/
@GetMapping("/index1")
public String index1(@CookieValue(value = "userid", required = false) String userid, @CookieValue(value = "username", required = false) String username, Model model){
if(ObjectUtils.isEmpty(userid) || ObjectUtils.isEmpty(username)){
// cookie中没有userid,表示用户从来没有登录过
log.info("需要用户重新登录!");
return "login1";
}
// 根据cookie中的信息来识别登录的用户身份(存在安全风险,容易被伪造)
model.addAttribute("username", username);
return "index1";
}
/**
* 用户登录操作
* @param username
* @param password
* @param response
* @param model
* @return
*/
@PostMapping("/login1")
public String login1(@RequestParam String username, @RequestParam String password, HttpServletResponse response, Model model){
if(!"admin".equals(username) || !"123".equals(password)){
log.info("用户名/密码不正确!");
return "login1";
}
// 设置用户浏览器端的cookie,用来识别用户的身份,并设置有效期为5分钟(以cookie创建时开始计算)
String userid = UUID.randomUUID().toString();
Cookie cookie1 = new Cookie("userid", userid);
cookie1.setMaxAge(5*60);
Cookie cookie2 = new Cookie("username", username);
cookie2.setMaxAge(5*60);
// 将用户信息都存放在用户浏览器端的cookie中(有被泄露的风险)
response.addCookie(cookie1);
response.addCookie(cookie2);
model.addAttribute("username", username);
return "index1";
}
@GetMapping("/logout1")
public String logout1(@CookieValue(value = "userid", required = false) String userid, @CookieValue(value = "username", required = false) String username, HttpServletResponse response){
log.info("用户进行退出登录!");
// 删除用户浏览器端的登录信息-覆盖更新立即删除cookie中的信息
Cookie cookie1 = new Cookie("userid", userid);
cookie1.setMaxAge(0);
response.addCookie(cookie1);
Cookie cookie2 = new Cookie("username", username);
cookie2.setMaxAge(0);
response.addCookie(cookie2);
return "login1";
}
}
用户主页
用户主页
欢迎:[[${username}]]
登出
登录页面1
登录页面1
- 浏览器端首先访问
/index1,因为没有cookie信息,因此会跳转到登录页面; - 用户输入账密进行登录,后端生成用户信息并写入浏览器的cookie中;
- 用户浏览器再次访问
/index1,此时cookie中存在了用户信息,因此获取用户信息后跳转到用户主页展示用户信息即可; - 用户访问
/logout1退出登录时,后端覆盖浏览器端用户信息cookie,将其删除处理,用户退出了登录;
使用Cookie的方式优点就是实现简单、用户信息如果不多且不敏感的话可以放在浏览器端存储,节省后端服务器压力;但是缺点就是不安全,cookie存在泄露和伪造的风险,而且存储的信息只能是键值对的文本形式,只能是ASCII字符,想要存储中文必须编码;
二、使用session方式
@Slf4j
@Controller
public class SessionLoginController {
@GetMapping("/index2")
public String index2(HttpSession session){
// Cookie中会有JSESSIONID,Servlet会自动匹配该ID对应的用户的Session
if(ObjectUtils.isEmpty(session.getAttribute("userid")) || ObjectUtils.isEmpty(session.getAttribute("username"))){
// session中没有该用户的信息说明用户没有登录过,或者session已经过期了,需要重新登录
log.info("需要用户重新登录!");
return "login2";
}
return "index2";
}
@PostMapping("/login2")
public String login2(@RequestParam String username, @RequestParam String password, HttpSession session){
if(!"admin".equals(username) || !"123".equals(password)){
log.info("用户名/密码不正确!");
return "login2";
}
// 服务器端保存用户的登录信息,并设置登录态2分钟内有效(以用户最后一次和服务器交互开始计算)
String userid = UUID.randomUUID().toString();
session.setAttribute("username", username);
session.setAttribute(userid, userid);
session.setMaxInactiveInterval(120);
return "index2";
}
@GetMapping("/logout2")
public String logout2(HttpSession session){
log.info("用户进行退出登录!");
// 服务端删除用户的登录状态
session.invalidate();
return "login2";
}
}
用户主页
用户主页
欢迎:[[${session.username}]]
登出
登录页面2
登录页面2
- 用户访问
/index2,根据cookie中的JSESSIONID自动匹配到当前用户的session,发现该session没有用户信息,说明未登录或已过期,需要重新登录; - 用户输入账密登录后,后端将用户信息保存在session中,并进入用户主页面;
- 当用户再次访问
/index2,session中的用户信息就能说明用户处于登录状态,直接进入主页面; - 当用户登出的时候,后端将session置为失效即可;
使用session的优点是安全,可以存放用户的任意数据,而且可以存放结构化的对象;缺点就是用户数量较多的话,会占用服务器很大的内存空间,影响性能。
三、使用Cookie+Session方式
一般情况下,都建议使用Cookie+Session结合的方式,Cookie用来存放不敏感的用户主要数据,减轻服务器压力,Session则是存放少量的用户识别数据,防止Cookie被篡改的风险。
@Slf4j
@Controller
public class LoginController {
@GetMapping("/index3")
public String index3(@CookieValue(value = "userid", required = false) String userid, HttpSession session){
if(ObjectUtils.isEmpty(userid) || ObjectUtils.isEmpty(session.getAttribute(userid))){
// 1.cookie中没有userid,表示用户从来没有登录过
// 2.根据cookie中的userid在session中找不到用户信息,表示用户的session过期了,或者是伪造的userid
log.info("需要用户重新登录!");
return "login3";
}
return "index3";
}
@PostMapping("/login3")
public String login3(@RequestParam String username, @RequestParam String password, HttpSession session, HttpServletResponse response){
if(!"admin".equals(username) || !"123".equals(password)){
log.info("用户名/密码不正确!");
return "login3";
}
// 服务器端保存用户的登录信息,并设置登录态2分钟内有效(以用户最后一次和服务器交互开始计算)
String userid = UUID.randomUUID().toString();
session.setAttribute("username", username);
session.setAttribute(userid, userid);
session.setMaxInactiveInterval(120);
// 设置用户浏览器端的cookie,用来识别用户的身份,并设置有效期为5分钟(以cookie创建时开始计算)
Cookie cookie = new Cookie("userid", userid);
cookie.setMaxAge(300);
response.addCookie(cookie);
return "index3";
}
@GetMapping("/logout3")
public String logout3(@CookieValue(value = "userid", required = false) String userid, HttpSession session, HttpServletResponse response){
log.info("用户进行退出登录!");
// 服务端删除用户的登录状态
session.invalidate();
// 删除用户浏览器端的登录信息-覆盖更新立即删除cookie中的userid
Cookie cookie = new Cookie("userid", userid);
cookie.setMaxAge(0);
response.addCookie(cookie);
return "login3";
}
}
用户主页
用户主页
欢迎:[[${session.username}]]
登出
登录页面3
登录页面3
最后,以上实例仅供参考,在现代系统设计中,单系统登录体系还有使用JWT的方式,更多情况下,都是使用开源的权限认证框架来实现,比如SpringSecurity、Shiro,它们都能实现登录认证的过程,比自己实现更加便捷和可靠。
Spring Security入门案例 - (jianshu.com)
安全权限验证框架Shiro初探 - (jianshu.com)