java - 如何在窗口关闭或应用程序重新运行时删除 servlet 中的 cookie

Question

正如标题所说，我想在关闭窗口时删除cookie。我知道 cookie 的方法，例如 Cookies.removeCookie(Constants.XXX); 还有 cookie.setMaxAge(0);用于删除 cookie。但这是在单击注销时完成的。

我想在窗口关闭或应用程序停止运行时删除 cookie。因为每当我调试应用程序时，每当我重新运行应用程序时，即使我没有登录，我也会看到 cookie 仍然存在，并且用户的 session 尚未启动。因此存在冲突，尽管 cookie 已设置，但用户仍未登录!

它是一个 GWT 应用程序。

Answer 1

首先，区分客户端的 cookie 和服务器端的 session 很重要(我想您已经知道了)。

通常，为了干净注销，您需要在服务器端调用 session.invalidate()，在服务器端调用 Cookies.removeCookie(...)客户端。

但并非每个“注销”都是干净的:

• 注销请求可能无法到达服务器
• 甚至在您调用 removeCookie 之前浏览器就可能崩溃 - 因此任何在窗口关闭时删除 cookie 的尝试都是不可靠的

在服务器端，您可以使用超时(请参阅@thinksteep 提供的链接:How we call logout servlet on browser close event)。

对于客户端cookie，你可以设置一个expiryDate/maxAge。或者您可以使用“ session cookie”:这些是您根本不设置过期或 maxAge 的 cookie。大多数浏览器会在浏览器重新启动时自动删除“ session cookie”——但请参阅 Firefox session cookies .

所有这些可能意味着，cookie 可能不是您用例的最佳技术:一般来说，cookie 设计在所有浏览器选项卡中都可用，并且浏览器 session 的概念当浏览器/窗口关闭时，甚至不会总是结束(这在智能手机上意味着什么？)。这对于许多当前的网站来说是可取的(用户不必每次都明确登录)，并且许多用户已经开始期待这种行为。

对于需要“一个选项卡 = 一个 session ”政策的网站，最好存储一个 token ，例如在 Javascript(或 GWT)对象中，并在每个请求中发送它。这样，您可以从多个浏览器选项卡单独登录 - 即使作为不同的用户，并且一旦选项卡关闭， token 就消失了。请注意，浏览器可能仍会在 session 恢复时恢复选项卡。 (我总是将此技术与 httponly cookie 结合使用，以避免 certain kinds of attacks 。)