如何使用 Set-Cookie 头发送 HTTP Cookie 建立无状态 JWT 认证？

通过 Set-Cookie 头发送 HTTP Cookie 以建立无状态 JWT 认证

在构建使用 Spring Security 框架和 JWT 作为身份验证机制的 Java Spring Web 应用程序时，经常需要将 JWT 访问令牌发送到客户端以建立无状态认证。本文将深入探讨使用 Set-Cookie 头从服务器发送 HTTP Cookie 的步骤，以及解决常见问题的技巧。

步骤指南

1. 验证客户端登录凭据

通过验证客户端提供的登录凭据（用户名和密码）启动认证过程。如果凭据有效，则继续创建 JWT 访问令牌。

2. 创建 JWT 访问令牌

使用 JWT 库（如 JJWT 或 Jasypt）创建符合 JSON Web 令牌规范的访问令牌。此令牌包含有关用户的声明，例如用户名、角色等。

3. 添加 Set-Cookie 头

使用 ResponseCookie 类创建 cookie 对象，并将访问令牌作为 value。设置 cookie 属性，例如 maxAge（cookie 的过期时间）、domain（cookie 作用的域名）和 secure（仅在 HTTPS 连接上发送 cookie）。

4. 将 Set-Cookie 头添加到响应

将创建的 cookie 添加到 HTTP 响应中，作为 Set-Cookie 头。客户端收到响应时，cookie 会自动保存在浏览器的 cookie 存储中。

5. Spring Security 配置

配置 Spring Security 以允许跨域请求 (CORS) 和无状态会话，如下所示：

http.csrf(csrf -> csrf.disable())
    .cors(cors -> cors.disable())
    .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS));

6. CORS 配置

配置 CORS 以允许跨域请求，以便客户端可以访问在不同域上托管的 Web 应用程序的受保护资源：

registry.addMapping("/**")
    .allowedOrigins("http://example.com")
    .allowedMethods("GET", "POST", "PUT", "DELETE")
    .allowCredentials(true);

常见问题解答

1. 客户端拒绝 Set-Cookie 头

• 检查 domain 值是否与客户端 IP 地址匹配。
• 确保 sameSite 值设置为 "Lax" 或 "None"。
• 尝试显式设置 secure 值为 false（仅在测试期间）。
• 客户端可能已配置阻止第三方 cookie。

2. 找不到 Set-Cookie 头

• 检查服务器端代码是否已正确添加 Set-Cookie 头。
• 检查客户端的浏览器设置是否已禁用 cookie。
• 尝试清除浏览器的 cookie 和缓存。

3. 无法访问 cookie 的值

• 确保 httpOnly 值设置为 true 以防止客户端 JavaScript 访问 cookie 的值。
• 检查 secure 值是否与当前连接类型匹配（对于 HTTPS 连接为 true，对于 HTTP 连接为 false）。

4. JWT 令牌无效

• 验证 JWT 令牌的签名和到期时间是否有效。
• 检查 JWT 库版本是否与用于创建令牌的版本匹配。
• 确保正在使用正确的私钥验证令牌的签名。

5. Cookie 大小限制

• 检查 cookie 的大小是否超过浏览器的限制（通常为 4KB）。
• 考虑将 cookie 分成多个较小的 cookie。

结论

通过遵循上述步骤和解决常见问题，您可以成功使用 Set-Cookie 头在 Spring Security 应用程序中建立无状态 JWT 认证。通过确保安全的 cookie 实施，您还可以保护用户的隐私并提高 Web 应用程序的安全性。