企业项目开发--cookie（1）

此文已由作者赵计刚授权网易云社区发布。

欢迎访问网易云社区，了解更多网易技术产品运营经验。

注：本章代码基于《第五章 企业项目开发--mybatis注解与xml并用》的代码，链接如下：

http://www.cnblogs.com/java-zhao/p/5120792.html

在实际项目中，我们会存储用户状态信息，基本使用两种手段：cookie和session

1、cookie：

1.1、流程：

• 服务端将cookie的属性值设置好之后，通过HttpServletResponse将cookie写入响应头；

• 服务端从请求头中通过HttpServletRequest将所有cookie（当前被访问页面的所有cookie）读取出来，遍历寻找指定name的cookie即可。

流程与下边的例子对应一下，立刻就清楚了。

1.2、包含选项：（当前使用最多的就是version0版本的cookie，这里仅说version0的几个最常用的属性）

• name：cookie名

• value：cookie值

• domain：cookie写在哪一个域下（例如：aaa.com）

• path：cookie写在哪一个uri下（例如：/admin）

• expires：cookie过期时间，超过某个指定时间点cookie就消失，当然设成-1的话，关闭浏览器cookie就会消失；指定了时间点的话，该cookie就会存在硬盘上

对于domain，一个例子解释清楚：

假设：www.baidu.com和e.baidu.com两个域，path="/"，

1）当domain="baidu.com"时，两个域都可以访问生成的cookie

2）当domain="www.baidu.com"时，只有前一个域有生成cookie

对于path，用一个例子解释清楚：

假设http://www.baidu.com/dev/zz/和http://www.baidu.com/dev/xx/，

1）当path="/dev"，生成的cookie上边的两个地址共享；

2）当path="/dev/zz"，生成的cookie只有第一个地址有，第二个地址没有。

根据上边的例子，对于path与domain是相互依赖的，共同决定某个页面地址是否可以生成指定的cookie

1.3、优点：

• 基本不需要使用服务器空间，用户会话信息存在了客户端（这个只是列出来，基本不能算优点，反而应该算是缺点，因为存在客户端不安全）

• 在分布式系统中，因为cookie存在了浏览器，所以不需要考虑同一个用户怎样定位到同一台服务器这个问题

1.4、缺点：

• cookie个数和总大小有限制，一般而言，每个域下可存放<=50个cookie，所有cookie的总大小<=4095个字节左右，chrome浏览器的cookie总大小会大很多（>80000个字节）。这些数据参考自《深入分析Java Web技术内幕》

• 如果cookie很多，客户端和服务端会浪费很对带宽，而且也会拖慢速度，一般而言，可以使用压缩算法做压缩，但是，可能压缩后的size也很大

• 不安全，如果被窃听者劫取到你的cookie，即使你对这些cookie做了加密，使其看不到cookie中的信息，但是其也可以通过该cookie模拟登录行为，然后获得一些权限，执行一些操作。（这是个疑问，记住我这个功能就是这样做的，怎样做到安全的呢？）（答案见最下方）

2、项目中使用cookie存储用户会话状态

代码实现：本章代码基于上一章代码实现，下面只列出修改或添加的一些类。

通常情况下，如果工具类很多，我们可以重开一个项目，例如：ssmm0-util，然后在这个子项目中添加类，当然，如果项目本身也不大，直接将工具类放在ssmm0-data子项目下即可。

2.1、ssmm0-data：

2.1.1、pom.xml：

 1 <?xml version="1.0" encoding="UTF-8"?>
 2 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 3     xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
 4 
 5     <modelVersion>4.0.0</modelVersion>
 6 
 7     <!-- 指定父模块 -->
 8     <parent>
 9         <groupId>com.xxx</groupId>
10         <artifactId>ssmm0</artifactId>
11         <version>1.0-SNAPSHOT</version>
12     </parent>
13 
14     <groupId>com.xxx.ssmm0</groupId>
15     <artifactId>ssmm0-data</artifactId>
16 
17     <name>ssmm0-data</name>
18     <packaging>jar</packaging><!-- 只是作为其他模块使用的工具 -->
19 
20     <!-- 引入实际依赖 -->
21     <dependencies>
22         <!-- mysql -->
23         <dependency>
24             <groupId>mysql</groupId>
25             <artifactId>mysql-connector-java</artifactId>
26         </dependency>
27         <!-- 数据源 -->
28         <dependency>
29             <groupId>org.apache.tomcat</groupId>
30             <artifactId>tomcat-jdbc</artifactId>
31         </dependency>
32         <!-- mybatis -->
33         <dependency>
34             <groupId>org.mybatis</groupId>
35             <artifactId>mybatis</artifactId>
36         </dependency>
37         <dependency>
38             <groupId>org.mybatis</groupId>
39             <artifactId>mybatis-spring</artifactId>
40         </dependency>
41         <!-- servlet --><!-- 为了会用cookie -->
42         <dependency>
43             <groupId>javax.servlet</groupId>
44             <artifactId>javax.servlet-api</artifactId>
45         </dependency>
46         <!-- bc-加密 -->
47         <dependency>
48             <groupId>org.bouncycastle</groupId>
49             <artifactId>bcprov-jdk15on</artifactId>
50         </dependency>
51         <!-- cc加密 -->
52         <dependency>
53             <groupId>commons-codec</groupId>
54             <artifactId>commons-codec</artifactId>
55         </dependency>
56     </dependencies>
57 </project>

说明：

• 引入了servlet-jar包，主要是需要HttpServletResponse向响应头写cookie和使用HttpServletRequest从请求头读取cookie；

• 引入commons-codec和bouncy-castle，主要是为了实现AES加密与Base64编码。

注意：

• servlet-jar的scope是provided，不具有传递性，所以如果在ssmm0-userManagement中需要用到servlet-jar，则ssmm0-userManagement需要自己再引一遍

• commons-codec和bouncy-castle的scope都是采用了默认的compile，具有传递性，所以如果在ssmm0-userManagement中需要用到commons-codec和bouncy-castle，ssmm0-userManagement不需要自己再引一遍了

2.1.2、AESUtil：（AES加密）

  1 package com.xxx.util;
  2 
  3 import java.io.UnsupportedEncodingException;
  4 import java.security.InvalidAlgorithmParameterException;
  5 import java.security.InvalidKeyException;
  6 import java.security.Key;
  7 import java.security.NoSuchAlgorithmException;
  8 import java.security.NoSuchProviderException;
  9 import java.security.Security;
 10 import java.security.spec.InvalidKeySpecException;
 11 
 12 import javax.crypto.BadPaddingException;
 13 import javax.crypto.Cipher;
 14 import javax.crypto.IllegalBlockSizeException;
 15 import javax.crypto.KeyGenerator;
 16 import javax.crypto.NoSuchPaddingException;
 17 import javax.crypto.SecretKey;
 18 import javax.crypto.spec.SecretKeySpec;
 19 
 20 import org.apache.commons.codec.binary.Base64;
 21 import org.bouncycastle.jce.provider.BouncyCastleProvider;
 22 
 23 /**
 24  * 基于JDK或BC的AES算法，工作模式采用ECB
 25  */
 26 public class AESUtil {
 27     private static final String ENCODING = "UTF-8";
 28     private static final String KEY_ALGORITHM = "AES";//产生密钥的算法
 29     private static final String CIPHER_ALGORITHM = "AES/ECB/PKCS5Padding";//加解密算法 格式：算法/工作模式/填充模式 注意：ECB不使用IV参数
 30     private static final String ENCRYPT_KEY = "WAUISIgpBh1R/+3f2Ze4csUU/tl/O8x56DbVb7mTs7w=";//这个是先运行一遍getKey()方法产生的，然后卸载了这里。
 31     
 32     /**
 33      * 产生密钥（线下产生好，然后配在项目中）
 34      */
 35     public static byte[] getKey() throws NoSuchAlgorithmException{
 36         Security.addProvider(new BouncyCastleProvider());//在BC中用，JDK下去除
 37         KeyGenerator keyGenerator = KeyGenerator.getInstance(KEY_ALGORITHM);
 38         keyGenerator.init(256);//初始化密钥长度,128,192,256（选用192和256的时候需要配置无政策限制权限文件--JDK6）
 39         SecretKey key =keyGenerator.generateKey();//产生密钥
 40         return key.getEncoded();
 41     }
 42     
 43     /**
 44      * 还原密钥：二进制字节数组转换为Java对象
 45      */
 46     public static Key toKey(byte[] keyByte){
 47         Security.addProvider(new BouncyCastleProvider());//在BC中用，JDK下去除
 48         return new SecretKeySpec(keyByte, KEY_ALGORITHM);
 49     }
 50     
 51     /**
 52      * AES加密，并转为16进制字符串或Base64编码字符串
 53      */
 54     public static String encrypt(String data, byte[] keyByte) throws InvalidKeyException, 
 55                                                                            NoSuchAlgorithmException, 
 56                                                                            InvalidKeySpecException, 
 57                                                                            NoSuchPaddingException, 
 58                                                                            IllegalBlockSizeException, 
 59                                                                            BadPaddingException, 
 60                                                                            UnsupportedEncodingException, 
 61                                                                            NoSuchProviderException, 
 62                                                                            InvalidAlgorithmParameterException {
 63         Key key = toKey(keyByte);//还原密钥
 64         //Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);//JDK下用
 65         Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM,"BC");//BC下用
 66         cipher.init(Cipher.ENCRYPT_MODE, key);//设置加密模式并且初始化key
 67         byte[] encodedByte = cipher.doFinal(data.getBytes(ENCODING));
 68         return Base64.encodeBase64String(encodedByte);//借助CC的Base64编码
 69     }
 70     
 71     /**
 72      * AES解密
 73      * @param data        待解密数据为字符串
 74      * @param keyByte    密钥
 75      */
 76     public static String decrypt(String data, byte[] keyByte) throws InvalidKeyException, 
 77                                                                      NoSuchAlgorithmException, 
 78                                                                      InvalidKeySpecException, 
 79                                                                      NoSuchPaddingException, 
 80                                                                      IllegalBlockSizeException, 
 81                                                                      BadPaddingException, 
 82                                                                      UnsupportedEncodingException, 
 83                                                                      NoSuchProviderException, 
 84                                                                      InvalidAlgorithmParameterException {
 85         Key key = toKey(keyByte);//还原密钥
 86         //Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);//JDK下用
 87         Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM,"BC");//BC下用
 88         cipher.init(Cipher.DECRYPT_MODE, key);
 89         byte[] decryptByte = cipher.doFinal(Base64.decodeBase64(data));//注意data不可以直接采用data.getByte()方法转化为字节数组，否则会抛异常
 90         return new String(decryptByte, ENCODING);//这里注意用new String()
 91     }
 92     
 93     /**
 94      * 测试
 95      */
 96     public static void main(String[] args) throws NoSuchAlgorithmException, 
 97                                                   InvalidKeyException, 
 98                                                   InvalidKeySpecException, 
 99                                                   NoSuchPaddingException, 
100                                                   IllegalBlockSizeException, 
101                                                   BadPaddingException, 
102                                                   UnsupportedEncodingException, 
103                                                   NoSuchProviderException, 
104                                                   InvalidAlgorithmParameterException {
105         String data = "找一个好姑娘做老婆是我的梦 想!";
106         /*************测试encryptAESHex()、decrypt()**************/
107         System.out.println("原文-->"+data);
108         byte[] keyByte3 = Base64.decodeBase64(ENCRYPT_KEY); 
109         System.out.println("密钥-->"+Base64.encodeBase64String(keyByte3));//这里将二进制的密钥使用base64加密保存，这也是在实际中使用的方式
110         String encodedStr = AESUtil.encrypt(data, keyByte3);
111         System.out.println("加密后-->"+encodedStr);
112         System.out.println("解密String后-->"+AESUtil.decrypt(encodedStr, keyByte3));
113     }
114 }

说明：

关于AES的具体内容，可以参照"Java加密与解密系列的第八章"，具体链接如下：

http://www.cnblogs.com/java-zhao/p/5087046.html

AESUtil这个类就是根据上边这篇博客的AESJDK这个类进行修改封装的。

注意：

AESUtil类的ENCRYPT_KEY变量的值是先运行了其中的getKey()方法，然后又通过Base64编码产生的，产生这个密钥后，我们将这个密钥写在类中。简单来说，就是线下先产生密钥，然后写在程序中，之后getKey()方法就再没有用了，可以直接删掉。

关于生成密钥的这段代码如下：

String key = Base64.encodeBase64String(AESUtil.getKey());

免费领取验证码、内容安全、短信发送、直播点播体验包及云服务器等套餐

更多网易技术、产品、运营经验分享请点击。

相关文章：
【推荐】 css小点心