Java开发Web前端Cookie、Session及Token会话机制详解

在Web开发中，为了维护用户的登录状态、保护用户信息的安全，常常使用Cookie、Session、Token等会话机制。本文将详细讲解这三种机制的原理、用法和应用场景。

Cookie

什么是Cookie

Cookie是一种用于保存客户端状态的机制。Web服务器在HTTP响应头中添加Set-Cookie字段的值，浏览器接收到响应后将Cookie保存到本地，当浏览器再次请求时，会将Cookie通过HTTP头传递给服务器，服务器就可通过Cookie辨识客户端状态。

Cookie 的工作原理

Cookie 由服务器发送给客户端，后续客户端的每次请求都会带上Cookie信息。

下面是一个使用Cookie记录用户信息的示例：

@GetMapping("/set-cookie")
public ResponseEntity<String> setCookie(HttpServletResponse response) {
    Cookie cookie = new Cookie("username", "johndoe");
    cookie.setMaxAge(3600); //生命周期为1小时
    response.addCookie(cookie);
    return new ResponseEntity<>("Cookie set", HttpStatus.OK);
}

@GetMapping("/hello")
public ResponseEntity<String> hello(@CookieValue(value = "username", defaultValue = "") String username) {
    if (StringUtils.isEmpty(username)) {
        return new ResponseEntity<>("Hello, stranger!", HttpStatus.OK);
    } else {
        return new ResponseEntity<>("Hello, " + username + "!", HttpStatus.OK);
    }
}

发送/set-cookie请求后，服务器会向客户端设置一个名为username的Cookie，当客户端发起/hello请求时，会通过@CookieValue注解将Cookie值自动注入到username参数中。

Cookie 的应用场景

Cookie一般用于记录用户信息、维护用户登录状态、保存用户偏好设置等功能。

比如，在一个电商网站中，可以使用Cookie保存用户的购物车信息。当用户再次登录网站时，系统可以从Cookie中获取该用户的购物车信息，让用户方便地继续购物。

Session

什么是Session

Session也是一种用于保存客户端状态的机制。Session工作原理与Cookie类似，但是Session将客户端状态保存在服务器内存中，所以相对更安全。

Session 的工作原理

当客户端第一次请求时，服务器会生成一个Session ID，将该ID添加到响应头中的Set-Cookie字段中，并将该ID和客户端状态信息关联存储在服务器内存中。后续客户端的请求会携带Session ID，服务器接收到请求时，通过Session ID在内存中查找对应的客户端状态信息。

下面是一个使用Session记录用户信息的示例：

@PostMapping("/login")
public ResponseEntity<String> login(HttpServletRequest request, @RequestBody Map<String, String> params) {
    String username = params.get("username");
    String password = params.get("password");
    if (StringUtils.isEmpty(username) || StringUtils.isEmpty(password)) {
        return new ResponseEntity<>("Username and password cannot be empty!", HttpStatus.BAD_REQUEST);
    }
    if (username.equals("admin") && password.equals("admin")) {
        HttpSession session = request.getSession(true);
        session.setMaxInactiveInterval(30 * 60); //生命周期为30分钟
        session.setAttribute("username", username);
        return new ResponseEntity<>("Login success", HttpStatus.OK);
    } else {
        return new ResponseEntity<>("Username or password is incorrect", HttpStatus.UNAUTHORIZED);
    }
}

@GetMapping("/hello")
public ResponseEntity<String> hello(HttpSession session) {
    String username = (String) session.getAttribute("username");
    if (StringUtils.isEmpty(username)) {
        return new ResponseEntity<>("Hello, stranger!", HttpStatus.OK);
    } else {
        return new ResponseEntity<>("Hello, " + username + "!", HttpStatus.OK);
    }
}

/hello请求中，通过HttpSession注入Session对象，通过getAttribute方法获取Session中保存的用户信息。

Session 的应用场景

Session一般用于记录用户信息、维护用户登录状态、保存用户偏好设置等功能，与Cookie不同的是，Session保存在服务器内存中，所以相对更安全。

比如，在一个社交网站中，可以使用Session保存用户的好友列表，这个列表是不应该暴露给客户端的，使用Session可以更好地保护用户的隐私。

Token

什么是Token

Token是一种基于密钥的认证机制，它将用户信息以及签名后的密钥进行组合，形成一个加密字符串，用于验证用户身份。

Token 的工作原理

当用户第一次登录时，服务器会根据用户的信息和服务器的密钥生成一个Token，并将Token返回给客户端。后续客户端的请求会携带Token，服务器接收到请求时，通过密钥解码Token，验证用户身份。

下面是一个使用Token认证用户身份的示例：

@PostMapping("/login")
public ResponseEntity<String> login(@RequestBody Map<String, String> params) {
    String username = params.get("username");
    String password = params.get("password");
    if (StringUtils.isEmpty(username) || StringUtils.isEmpty(password)) {
        return new ResponseEntity<>("Username and password cannot be empty!", HttpStatus.BAD_REQUEST);
    }
    if (username.equals("admin") && password.equals("admin")) {
        String token = TokenUtil.getToken(username);
        return new ResponseEntity<>(token, HttpStatus.OK);
    } else {
        return new ResponseEntity<>("Username or password is incorrect", HttpStatus.UNAUTHORIZED);
    }
}

@GetMapping("/hello")
public ResponseEntity<String> hello(@RequestHeader(value = "Authorization", defaultValue = "") String token) {
    String username = TokenUtil.getUserName(token);
    if (StringUtils.isEmpty(username)) {
        return new ResponseEntity<>("Hello, stranger!", HttpStatus.OK);
    } else {
        return new ResponseEntity<>("Hello, " + username + "!", HttpStatus.OK);
    }
}

/login请求中，用户登陆成功后，服务器会返回一个Token给客户端。/hello请求中，客户端会在请求头中添加Authorization字段，该字段的值为Token。通过TokenUtil工具类的getUserName方法可以解析Token中的用户名信息。

Token 的应用场景

Token一般用于API接口的认证、授权等功能。当客户端需要访问API接口时，需要在请求头中添加Token信息，服务器通过Token验证客户端身份，校验成功后才能返回对应的数据。

比如，在一个社交网站中，可以使用Token认证客户端API请求，只有经过认证的客户端才能获取需要认证的用户信息。