Cookie maxAge 始终为 -1

Question

我目前正在 JSF 中实现“自动登录”机制。实现了一个过滤器来拦截每个请求，并通过读取cookie来检查用户是否登录。

当用户第一次登录时，在托管bean中，cookie是这样保存的：

HttpServletResponse response = (HttpServletResponse) FacesContext.getCurrentInstance().getExternalContext().getResponse();
Cookie cookie = new Cookie("myCookieRef", value);
cookie.setPath("/");
cookie.setMaxAge(3600);
response.addCookie(cookie);

稍后如果用户执行重定向，在过滤器中，我使用以下代码检索 cookie：

Cookie[] cookies = request.getCookies();
if (cookies != null) 
{
   for (Cookie cookie : cookies)
   {
       if (name.equals("myCookieRef")) 
       {
          return cookie;
       }
    }
}

request 是 HttpServletRequest 对象。

问题是返回的 cookie 总是有一个 -1 maxAge 和 null value。

不知道添加cookie时是否遗漏了什么，还是应该为cookie指定一些额外的属性？

非常感谢。

Answer 1

客户端不会将名称和值以外的 cookie 属性发送回服务器。

另见RFC6265 section 4.2.2（强调我的）。

4.2.2。语义

每个 cookie 对代表用户代理存储的一个 cookie。这 cookie-pair 包含用户代理的 cookie-name 和 cookie-value 在 Set-Cookie 标头中收到。

请注意不返回 cookie 属性。特别是， 服务器无法单独从 Cookie 标头确定 cookie 将过期，cookie 对哪些主机有效， cookie 有效的路径，或者 cookie 是否设置为 Secure 或 HttpOnly 属性。

最大年龄的行为与指定的一样。此外，如果它在客户端已经过期，那么整个 cookie 就不会从客户端发送到服务器。在服务器端，您通常只需设置一个具有相同名称/值的新 cookie 并在没有登录用户的情况下检查 cookie 是否存在，而不是是否存在，来延长每次“自动登录”时 cookie 的生命周期是否过期。

如果由于其他原因最大年龄值对您非常重要，只需将其与唯一 cookie 标识符（cookie 值）一起存储在您身边的某个数据库中。

至于null 值，这表明您自己的代码存在问题，而不是cookie 中的问题。这个问题在目前提供的信息中是看不到的，但我相信如果你再次检查/调试它，你会发现一个简单的错误。

关于“自动登录”的具体功能需求，请阅读：How to implement "Stay Logged In" when user login in to the web application。