介绍

  • cookie 的工具类
  • 用于基于 cookie 的单点登录

代码

  1. @Slf4j
  2. public class CookieUtil {
  3.     /**
  4.      * COOKIE 的父级域名,他的子孙域名都可以访问到
  5.      * 比如 a.b.c.myWeb.com, 在这里 a.b.c.myWeb.com 和 b.c.myWeb.com 和 c.myWeb.com 都属于 myWeb.com 的子域名
  6.      * 后面还有有 path 的说法
  7.      * 简单想
  8.      *      DOMAIN 作用域从右到左越长越小,path 从左到右越长越小
  9.      *      而作用域小的可以访问作用域大的,相同作用域也无法访问
  10.      */
  11.     private final static String COOKIE_DOMAIN = "myWeb.com";
  12.     private final static String LOGIN_TOKEN_NAME = "myWeb_login_token";
  14.     /**
  15.      * <h2> 写token到cookie中 </h2>
  16.      *
  17.      * @param response {@link HttpServletRequest}
  18.      * @param token    要写入的 token
  19.      */
  20.     public static void writeLoginToken(HttpServletResponse response, String token) {
  21.         Cookie cookie = new Cookie(LOGIN_TOKEN_NAME, token);
  22.         cookie.setDomain(COOKIE_DOMAIN);
  23.         cookie.setPath("/");
  24.         cookie.setHttpOnly(true);
  25.         // 保存时间,如果不设置,仅在当前窗口有效
  26.         // 单位秒,-1 表永久
  27.         cookie.setMaxAge(60 * 60);
  28.         log.info("write cookieName: {}, cookieValue: {}", cookie.getName(), cookie.getValue());
  29.         response.addCookie(cookie);
  30.     }
  32.     /**
  33.      * <h2>从 cookie 中获取 token</h2>
  34.      *
  35.      * @param request {@link HttpServletRequest}
  36.      * @return
  37.      */
  38.     public static String readLoginToken(HttpServletRequest request) {
  39.         Cookie[] cookies = request.getCookies();
  40.         if (Objects.isNull(cookies)) {
  41.             return null;
  42.         }
  43.         for (Cookie cookie : cookies) {
  44.             if (Objects.nonNull(cookie.getName()) && cookie.getName().equals(LOGIN_TOKEN_NAME)) {
  45.                 log.info("get target cookie-> cookieName: {}, cookieValue: {}", cookie.getName(), cookie.getValue());
  46.                 return cookie.getValue();
  47.             }
  48.         }
  49.         return null;
  50.     }
  52.     /**
  53.      * <h2>如果存在 login cookie,删除该 cookie</h2>
  54.      *
  55.      * @param request  {@link HttpServletRequest}
  56.      * @param response {@link HttpServletResponse}
  57.      */
  58.     public static void delLoginToken(HttpServletRequest request, HttpServletResponse response) {
  59.         Cookie[] cookies = request.getCookies();
  60.         for (Cookie cookie : cookies) {
  61.             if (Objects.nonNull(cookie.getName()) && cookie.getName().equals(LOGIN_TOKEN_NAME)) {
  62.                 cookie.setDomain(COOKIE_DOMAIN);
  63.                 cookie.setPath("/");
  64.                 // 设置为 0 表示删除 cookie
  65.                 cookie.setMaxAge(0);
  66.                 log.info("del cookie--> cookieName: {}, cookieValue: {}", cookie.getName(), cookie.getValue());
  67.                 response.addCookie(cookie);
  68.             }
  69.         }
  70.     }
  71. }

基于 cookie + redis的单点登录介绍

  • 为啥要 cookie + redis ?

    • cookie 保存 token
    • redis 保存 token 对应的敏感信息

      步骤

  • 登录

    • 生产一个 token
    • CookieUtil#writeLoginToken() 将 token 写入 cookie 中
    • token: <想要保存的信息, 一般是用户信息> 或者其他保存到 redis 中
      • 过期时间一般少于 cookie
  • 使用
    • CookieUtil#readLoginToken() 拿到 token
    • 使用 token 就可以从 redis 中获取之前要保存的信息了
  • 删除
    • CookieUtil#delLoginToken() 删除掉有 token 的 cookie
    • 删除 redis 中 token 对应的信息

注意点

  • 要写一个 filter/interceptor
    • 比较下 cookie 和 缓存中对应 token 的过期时间
    • 每次要更新下 redis 中 token 的过期时间,直到 cookie 结束
  • 一些敏感地方,比如更新用户信息,就需要重新设置 redis 中的消息了