正如标题所说,我想在关闭窗口时删除cookie。我知道像 Cookies.removeCookie(Constants.XXX);
这样的 cookie 方法,还有 cookie.setMaxAge(0);
用于删除 cookie。但这是在单击注销时完成的。
我想在窗口关闭或应用程序停止运行时删除 cookie。因为每当我调试应用程序时,每当我重新运行应用程序时,即使我没有登录,我也会看到 cookie 仍然存在,并且 session 尚未为用户启动。因此存在冲突,尽管用户尚未登录,但 cookie 已设置!
它是一个 GWT 应用程序。
最佳答案
首先,区分客户端的 cookie 和服务器端的 session 非常重要(我想您已经知道了)。
通常,为了干净注销,您需要在服务器端调用 session.invalidate()
,并在服务器端调用 Cookies.removeCookie(...)
客户端。
但并非每个“注销”都是干净的:
- 注销请求可能无法到达服务器
- 浏览器甚至可能在您调用removeCookie之前崩溃 - 因此任何在窗口关闭时删除 Cookie 的尝试都是不可靠的
在服务器端,您可以使用超时(请参阅@thinksteep提供的链接:How we call logout servlet on browser close event)。
对于客户端cookie,您可以设置expiryDate/maxAge。或者您可以使用“ session cookie”:这些 cookie 中您根本不设置过期时间或 maxAge。大多数浏览器会在浏览器重新启动时自动删除“ session cookie” - 但请参阅Firefox session cookies .
所有这些可能意味着,Cookie 可能不是最适合您的用例的技术:一般来说,Cookie 设计在所有浏览器选项卡中都可用,并且浏览器 session 的概念当浏览器/窗口关闭时,甚至并不总是结束(这在智能手机上意味着什么?)。这对于许多当前的网站来说是可取的(用户不必每次都显式登录),并且许多用户已经开始期待这种行为。
对于需要“一个选项卡=一个 session ”政策的网站,最好存储一个 token ,例如在 Javascript(或 GWT)对象中,并随每个请求发送它。这样,您就可以从多个浏览器选项卡单独登录(即使是作为不同的用户),并且一旦选项卡关闭, token 就会消失。请注意, session 恢复时浏览器仍可能恢复选项卡。 (我总是会将此技术与 httponly cookie 结合起来,以避免 certain kinds of attacks 。)
关于java - 如何在窗口关闭或应用程序重新运行时删除 servlet 中的 cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12011599/