即使会话关闭也存储 cookie

Question

什么是 Play 的最佳方法！应用程序记住用户？我认为唯一可能的解决方案是使用客户端cookie，对吗？但是一旦浏览器关闭，这个会话就被破坏了，对下一个请求无效？你是如何/如何解决（d）这个问题的？

就目前而言，我在会话（每个会话）中提供加密的userid，如下所示：

session("userid", user.id);

然后我使用拦截器来避免在每次需要时传递参数，如下所述：How to avoid passing parameters everywhere in play2?

但是如何记住用户，甚至更好的是，在下一次请求时自动登录用户？

编辑：2016-03-11 请注意，某些浏览器可能会将会话 cookie 存储更长的时间。例如，您可以在 Chrome 中设置以记住下次访问时打开的标签。这意味着 Play Session cookie 将在您下次打开浏览器时恢复。

从 Play 2.4 开始，会话 cookie maxAge（您需要在 application.conf 中设置）重命名为：play.http.session.maxAge

Answer 1

如果您不强制使用newSession 或用户未删除 cookie，则用户仍应处于登录状态。

可能是您的浏览器设置为在关闭时删除 cookie，或者您遇到了外部副作用。但我可以确认 cookie 在关闭浏览器后仍然存在于我的开发环境中（在 Chrome 和 Firefox 中）。

Answer 2

引用Play 2.0 Session Documentation:

会话没有技术超时。它在用户关闭 Web 浏览器时过期。如果您需要特定应用程序的功能超时，只需将时间戳存储到用户 Session 中，然后根据您的应用程序需要使用它（例如，最长会话持续时间、最长不活动持续时间等）。

出于安全原因，现代浏览器会在退出时使 cookie 失效，这不是您可以更改的，因为它会让黑客使用他们不正当拥有的凭据来做坏事。

我会重新评估您是否真的希望用户保持登录状态，因为这样做通常会带来安全风险。但是，如果您决定仍然希望用户保持登录状态，您将不得不尝试不基于 cookie 的方法，目前我不确定会是什么样子。

Answer 3

我试过这个，它对我有用。它基本上是一个组合动作。

def RememberAction(f: Request[AnyContent] => Result): Action[AnyContent] = { 行动{请求=> if(!request.session.get("email").isDefined && request.cookies.get("remember-email").isDefined) { f(request).asInstanceOf[PlainResult].withSession("email" -> request.cookies.get("remember-email").get.value) } 别的 { f（请求） } } }

然后你可以像这样在你的控制器中使用这个动作：

def index = RememberAction { 隐式请求 => 好的（“你好世界！”） }

Answer 4

要使会话在用户关闭浏览器时不会超时，您可以在 application.conf 中使用 session.maxAge 参数。

例如：

# Set session maximum age in seconds (4w)
session.maxAge=2419200