1.先看一下Chrome中的Cookie信息
访问首页信息时:
第一次请求时,服务器会在Response Header中带过来一个Set-Cookie,内容为JSESSIONID=C3E668A891BA4E1C160C91A7EBEAA540.h2;
再次请求时,浏览器会在Requst Header中的Cookie将JSESSIONID带上。
在浏览器中调用登录接口时:
2.项目中实际问题
例如在一个项目中,登录界面为原生开发,而一些订单预定处理页面使用WebView嵌套Html5页面。结合实际开发,主要碰到了两个问题:
1.项目中使用的Volley作为网络请求库,默认 只能获取的respone header中的各类的第一条数据,如图3中,会有两条Set-Cookie,而Volley默认只会拿到第一条Set-Cookie,也就是只能拿到JSESSIONID的值,不会拿到tocken的值;
2.默认情况下,每一次的原生接口调用就会产生新的JSESSIONID(因为默认请求中没有同步cookie),调用登录接口时如何同步最新的JSESSIONID?
3.WebView中Cookie同步机制
3.解决问题
问题1:可以有两种解决方案
1.修改Volley源码:Volley#toolbox#HurlStack.java#performRequest()
@Override
public HttpResponse performRequest(Request<?> request, Map<String, String> additionalHeaders)
throws IOException, AuthFailureError {
String url = request.getUrl();
HashMap<String, String> map = new HashMap<String, String>();
map.putAll(request.getHeaders());
map.putAll(additionalHeaders);
...
URL parsedUrl = new URL(url);
HttpURLConnection connection = openConnection(parsedUrl, request);
for (String headerName : map.keySet()) {
connection.addRequestProperty(headerName, map.get(headerName));
}
...
for (Entry<String, List<String>> header : connection.getHeaderFields().entrySet()) {
if (header.getKey() != null) {
/*看这里...默认只获取index=0的值*/
Header h = new BasicHeader(header.getKey(), header.getValue().get(0));
response.addHeader(h);
}
}
return response;
}
2.在发送请求的时候带上最新的JSESSIONID(请求头里添加Cookie),volley设置请求头,代码如下:
@Override
public Map<String, String> getHeaders() throws AuthFailureError {
String cookie = CookieManager.getInstance().getCookie(Constant.BASE_URL);
sendHeader.put("Cookie", cookie);
if(sendHeader != null) {
return sendHeader;
}
return super.getHeaders();
}
问题2:在调用登录接口时同步最新的JSESSIONID。最初的解决办法:会在刚进入APP时主动调用某一个接口,获取JSESSIONID,并做保存,在后续的请求上会一直使用这个JSESSIONID。这个办法最初竟然可以顺畅的使用,可是后续发现Cookie会 产生新的内容,比如说有的接口会更新tocken,每次就需要手动单独去更新tocken,这样做很不利于管理。
现在的做法是,在Volley解析数据的时候拿到Cookie(以"Set-Cookie"作为Key值),并将Cookie保存到CookieManager中,当然如果已经有保存的Cookie,在请求的时候也要带上,这样就做到了原生请求的时候Cookie的同步,然后在调用WebView时,只需要从CookieManager中同步即可。可以在Volley的Request中处理:JsonObjectRequest#parseNetworkResponse()
@Override
protected Response<JSONObject> parseNetworkResponse(NetworkResponse response) {
try {
String jsonString =
new String(response.data, HttpHeaderParser.parseCharset(response.headers));
mHeader = response.headers.toString();
JSONObject jsonObject = new JSONObject(jsonString);
for(Map.Entry<String,String> entry : response.headers.entrySet()) {
if("Set-Cookie".equalsIgnoreCase(entry.getKey())) {
//将cookie保存到CookieManager
CookieManager.getInstance().setCookie(Constant.BASE_URL, entry.getValue());
break;
}
}
return Response.success(jsonObject,
HttpHeaderParser.parseCacheHeaders(response));
} catch (UnsupportedEncodingException e) {
return Response.error(new ParseError(e));
} catch (JSONException je) {
return Response.error(new ParseError(je));
}
}
3.WebView中的Cookie机制
WebView是基于webkit内核的UI控件,相当于一个浏览器客户端。它会在本地维护每次会话的cookie(保存在data/data/package_name/app_WebView/Cookies.db)。
如图:
当WebView加载URL的时候,WebView会从本地读取该URL对应的cookie,并携带该cookie与服务器进行通信。WebView通过android.webkit.CookieManager类来维护cookie。CookieManager是 WebView的cookie管理类。
之前同步cookie需要用到CookieSyncManager类,现在这个类已经被deprecated。如今WebView已经可以在需要的时候自动同步cookie了,所以不再需要创建CookieSyncManager类的对象来进行强制性的同步cookie了。现在只需要获得 CookieManager的对象将cookie设置进去就可以了。
CookieManager的使用方法
1.setCookie(String url, String cookie)
2.getCookie(String url)
数据库会根据name、host、path等生成一条记录,也即是说在CookieManager#setCookie()中name、host和path一致会导致覆盖原来的记录。
ps:调用SetCookie()方法时,如果一条Set-Cookie中包含JSESSIONID和tocken,Cookies.db对应的表中会插入两天记录,name分别为JSESSIONID和tocken;如果以图3为例,会有两条Set-Cookie,如果按照顺序把两条拼接,在Cookies.db的表中只会插入一条name为JSESSIONID的记录,这种时候可以调用两次setCookie()方法。
Cookie相关的Http头
有 两个Http头部和Cookie有关:Set-Cookie和Cookie。
Set-Cookie由服务器发送,它包含在响应请求的头部中。它用于在客户端创建一个Cookie
Cookie头由客户端发送,包含在HTTP请求的头部中。注意,只有cookie的domain和path与请求的URL匹配才会发送这个cookie。
Set-Cookie响应头的格式如下所示:
Set-Cookie: <name>=<value>[; <name>=<value>]...
[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; httponly]
expires=<date>: 设置cookie的有效期,如果cookie超过date所表示的日期时,cookie将失效。
如果没有设置这个选项,那么cookie将在浏览器关闭时失效。
secure : 表示cookie只能被发送到http服务器。
httponly : 表示cookie不能被客户端脚本获取到。
注:临时cookie(没有expires参数的cookie)不能带有domain选项。
当客户端发送一个http请求时,会将有效的cookie一起发送给服务器。
如果一个cookie的domain和path参数和URL匹配,那么这个cookie就是有效的。