Spring Session 中实现持久化 Cookie 会话管理的最佳实践

2025-07-06 14:58:48作者：鲍丁臣Ursa

背景介绍

在移动应用开发领域，使用 Capacitor 等工具将 Web 应用打包为原生应用时，开发者常会遇到一个典型问题：当用户频繁关闭应用而非将其置于后台时，传统的会话 Cookie 机制会导致用户体验不佳。这是因为标准的会话 Cookie 会在浏览器或应用关闭时被清除，导致用户每次重新打开应用都会创建新的会话。

问题分析

Spring Session 默认使用会话 Cookie 存储 Session ID，这种 Cookie 的生命周期仅限于浏览器会话期间。对于移动应用场景，这种机制存在明显不足：

用户习惯频繁关闭应用而非最小化
每次重新打开应用都会创建新会话
服务器端会话可能仍然有效，但客户端已丢失会话标识

解决方案对比

方案一：设置超长 Cookie 有效期

通过配置 CookieSerializer 设置极大的 maxAge 值（如 Integer.MAX_VALUE），这种方法简单但存在明显缺陷：

服务器端会话过期后，客户端仍会携带无效 Cookie
增加了不必要的网络请求
不符合安全最佳实践

方案二：自定义过滤器动态更新 Cookie

更优雅的解决方案是实现一个自定义过滤器，在每次请求时检查并适时延长 Cookie 有效期。这种方法需要：

过滤器需放置在 SessionRepositoryFilter 之后
需要正确处理会话创建和失效的特殊情况
合理控制 Cookie 更新频率

实现细节

以下是实现动态 Cookie 更新的核心代码示例：

public class SessionExtenderFilter extends OncePerRequestFilter {
    private final Clock clock = Clock.systemUTC();

    @Override
    protected void doFilterInternal(HttpServletRequest request, 
                                   HttpServletResponse response, 
                                   FilterChain filterChain) 
        throws ServletException, IOException {
        
        filterChain.doFilter(request, response);
        HttpSession session = request.getSession(false);
        
        if (session == null) {
            return;
        }
        
        for (Cookie cookie : request.getCookies()) {
            if ("SESSION".equals(cookie.getName())) {
                extendSessionCookieIfNeeded(session, response, cookie);
            }
        }
    }

    private void extendSessionCookieIfNeeded(HttpSession session, 
                                           HttpServletResponse response, 
                                           Cookie cookie) {
        int maxAge = cookie.getMaxAge();
        Instant expires = this.clock.instant().plusSeconds(maxAge);
        Instant now = this.clock.instant();
        
        if (ChronoUnit.SECONDS.between(now, expires) < 60) {
            cookie.setMaxAge(1800); // 30分钟有效期
            response.addCookie(cookie);
        }
    }
}