Cookie
什么是Cookie?
- 概念:存储在用户浏览器端的一个小型数据文件,用于跟踪和保存用户的状态信息
- 用处:主要用于保持用户登录状态、跟踪用户行为、存储用户偏好等
- 存储在浏览器端
优点:
HTTP
协议中支持的技术
缺点:
- 移动端无法使用
- 不安全,用户可以自己禁用
Cookie
- Cookie 不能跨域
跨域区分三个维度:协议、IP/域名、端口
关于 Cookie
每个域下面都有各自的 Cookie,访问不同的网站带属于这个网站的Cookie,不会带别人的 Cookie,否则就会乱套了,前后端也是一样,浏览器会发送请求并且该请求携带Cookie
到前端,而这个Cookie
如果拿去访问后端就不可行,因为Cookie
不能跨域
问题:但是 Cookie 是明文存储在用户本地,而且带有大量的用户信息,这不太安全
相关代码实践
// 设置 Cookie
@GetMapping("/c1")
public BaseResponse cookie1(HttpServletResponse response) {response.addCookie(new Cookie("loginUser", "lantz"));return ResultUtils.success("ok");
}// 获取 Cookie
@GetMapping("/c2")
public BaseResponse cookie2(HttpServletRequest request) {Cookie[] cookies = request.getCookies();for (Cookie cookie : cookies) {if (cookie.getName().equals("loginUser")) {log.info("loginUser value=" + cookie.getValue());}}return ResultUtils.success("ok");
}
在测试c2
接口的时候可以看到debug窗口会返回一条数据:
2025-10-12 18:23:29.206 INFO 37868 --- [nio-8080-exec-5] c.l.l.controller.SessionController : loginUser value=lantz
说明已经成功获取Cookie
了
Session
什么是 Session?
- 概念:服务器端保存用户状态的机制,每个用户会话都有一个唯一的
SessionID
(JSESSIONID
) - 用处:主要用于跟踪用户在服务器上的状态信息,例如登录状态和购物车内容
- 存储在服务器端,然后对应的 Session ID 通过 Cookie 保存在客户端浏览器中
关于 Session
Session
就解决了 Cookie 的这个问题:Cookie 是明文存储在用户本地,而且带有大量的用户信息,不太安全
Session 就是把用户的会话信息存储在服务端,然后颁发给客户端一个 sessionId,让客户端之后带着 sessionId 来请求。这样服务端就可以通过 sessionId 去找到这个用户的信息,从而识别请求。
那么客户端是如何带上 sessionId 的?
这个 sessionId 还是按照 Cookie 的形式存储在用户的本地,发起请求的时候带上即可。
演示代码
设置Session
// 设置 Session
@GetMapping("/s1")
public BaseResponse session1(HttpSession session) {log.info("HttpSession-s1: {}", session.hashCode());session.setAttribute("loginUser", "lantz");return ResultUtils.success("ok");
}
测试s1
设置session
并且输出当前Session
的哈希码
如下所示:
HttpSession-s1: 2054650805
返回的Cookie
可见:在发送Session
请求的时候,浏览器会为当前的请求自动生成一个哈希码,用作JSESSIONID
,并且会将这个JSESSIONID
加到Cookie
上,一并返回给服务端
获取Session
// 获取 Session
@GetMapping("/s2")
public BaseResponse session2(HttpServletRequest request) {HttpSession session = request.getSession();log.info("HttpSession-s2: {}", session.hashCode());Object loginUser = session.getAttribute("loginUser");log.info("loginUser: {}", loginUser);return ResultUtils.success("ok");
}
测试s2
获取到当前Session
的哈希码
如下所示:
2025-10-12 18:40:43.562 INFO 16300 --- [nio-8080-exec-4] c.l.l.controller.SessionController : HttpSession-s2: 2054650805
2025-10-12 18:40:43.562 INFO 16300 --- [nio-8080-exec-4] c.l.l.controller.SessionController : loginUser: lantz
Cookie
展示:
Token
什么是Token
?
- 概念:本质是一个加密的字符串,用于身份验证和授权,可以包含用户信息和权限,用于验证用户身份或授权访问资源。
- 认证后,后端服务会返回 Token,存储在客户端(浏览器或移动应用中),后续客户端访问服务端需要带上这个 Token
其实只需要一个能代表身份的凭证即可,一个服务端颁发给用户的凭证,之后的请求让用户带着这个凭证就行。
就像我们的身份证代表着我们,里面包含了我们的信息
但是担心凭证被伪造怎么办?可以把凭证给签名了,这样服务器就可验证凭证的真伪了。
这个凭证就叫 **Token**
如果一个用户登陆了系统,就返回一个 Token 给他,之后每次请求他带这个 Token 来就行。服务器验证了真伪之后拿到 Token 里面的用户信息就知道这个请求是谁发的了。
Token 简单地说就是一个含有凭证信息的令牌,只要服务器能识别这个令牌就能根据令牌的身份进行相应的相应。
jwt
全称: JSON Web Token(https://jwt.io/)
定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。
组成:
- 第一部分:Header(头),记录令牌类型、签名算法等。例如:
- 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如:
- 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
代码演示
生成令牌
@Test
public void getjwt(){Map<String, Object> claims = new HashMap<>();claims.put("id", 123);claims.put("username", "lantz");String jwt = Jwts.builder().setClaims(claims) // 自定义载荷.signWith(SignatureAlgorithm.HS256, "lanuc") // 签名算法.setExpiration(new Date(System.currentTimeMillis() + 3600 * 100)) // 设置过期时间.compact();System.out.println(jwt);
}
生成令牌如下:
eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MTIzLCJleHAiOjE3NjAyNjc5NDQsInVzZXJuYW1lIjoibGFudHoifQ.9RYwpzNji9kfg33ge1qQUDFq_2vQdO__mr1Eze-IXlc
解析令牌
@Test
public void deCode(){Claims body = Jwts.parser().setSigningKey("lanuc") // 指定签名秘钥.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MTIzLCJleHAiOjE3NjAyNjc5NDQsInVzZXJuYW1lIjoibGFudHoifQ.9RYwpzNji9kfg33ge1qQUDFq_2vQdO__mr1Eze-IXlc")//解析令牌.getBody();System.out.println(body);}
生成结果:
{id=123, exp=1760267944, username=lantz}
SpringBoot 实现
JwtUtils
jwt工具类(JwtUtils
)-- 生成令牌,解析令牌
生成令牌
/*** 生成令牌* @param claims JWT 第二部分负载 payload 中存储的内容* @return*/
public static String generateToken(Map<String, Object> claims) {return Jwts.builder().setClaims(claims).setExpiration(new Date(System.currentTimeMillis() + EXPIRATION)).signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();
}
解析令牌
/*** 解析JWT Token* @param token jwt 令牌* @return*/
public static Claims parseToken(String token) {return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
}
用户登录
需要先获取用户登录信息,然后才能根据用户信息生成令牌
@PostMapping("/login")
public BaseResponse<LoginResponse> userLogin(@RequestBody UseLoginRequest useLoginRequest, HttpServletRequest request){if (useLoginRequest == null){return null;}String userAccount = useLoginRequest.getUserAccount();String userPassword = useLoginRequest.getUserPassword();if (StringUtils.isAnyBlank(userAccount, userPassword)) {return null;}User user = userService.userLogin(userAccount, userPassword, request);if (user == null) {return ResultUtils.error(ErrorCode.PARAMS_ERROR, "登录失败");}// 获取登录用户User loginUer = userService.getLoginUer(request);// 生成令牌,下发令牌Map<String, Object> claims = new HashMap<>();claims.put("id", loginUer.getId());claims.put("userAccount", loginUer.getUserAccount());claims.put("userName", loginUer.getUserName());String jwt = JwtUtils.generateToken(claims); // 生成令牌// 创建登录响应LoginResponse loginResponse = new LoginResponse();loginResponse.setUser(user);loginResponse.setJwt(jwt);return ResultUtils.success(loginResponse);
}
测试结果:
{"code": 0,"data": {"user": {"id": 4,"userAccount": "Lantz","userName": "lan","userAvatar": "https://pic.code-nav.cn/user_avatar/1872161376428277761/thumbnail/D5QaPIaHNcft2xW1.jpg","gender": 1,"userPassword": "dd8fa48dc3e51a450c6141f5c0ad6665","phone": "12335555","email": "22334466@email.com","userStatus": 0,"createTime": "2025-04-18T10:43:38.000+00:00","updateTime": null,"isDelete": null,"userRole": 1},"jwt": "eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyQWNjb3VudCI6IkxhbnR6IiwiaWQiOjQsInVzZXJOYW1lIjoibGFuIiwiZXhwIjoxNzYwMjczMzMxfQ.eWcD38s2pfmYin78IssVy2tqeq0SA5CWtAjbq5CKto0"},"message": "ok"
}