在 spring 中自动将安全标志添加到 JSESSIONID cookie

当你使用 spring-session 时，例如在 reddis 中持久化你的会话，这确实是自动完成的。 cookie 是由 org.springframework.session.web.http.CookieHttpSessionStrategy 创建的，它在 CookieHttpSessionStrategy#createSessionCookie 检查请求是否来自 HTTPS 并相应地设置安全：

 sessionCookie.setSecure(request.isSecure());

如果您 不 使用 spring-session，则可以使用 ServletContextInitializer 配置安全 cookie。使用 应用程序属性，根据配置文件将其设置为真/假。

 @Bean
public ServletContextInitializer servletContextInitializer(@Value("${secure.cookie}") boolean secure) {
    return new ServletContextInitializer() {

        @Override
        public void onStartup(ServletContext servletContext) throws ServletException {
            servletContext.getSessionCookieConfig().setSecure(secure);
        }
    };
}

application.properties（当配置文件“prod”未激活时在开发中使用）：

 secure.cookie=false

application-prod.properties（仅在配置文件“prod”处于活动状态时使用，覆盖 application.properties 中的值）：

 secure.cookie=false

使用以下命令在产品服务器上启动您的应用程序：

 --spring.profiles.active=prod

如果到目前为止您还没有使用过配置文件，这听起来需要付出一些努力，但是您很可能无论如何都需要一个用于生产环境的配置文件，所以这真的很值得。

原文由 Stefan Isele - prefabware.com 发布，翻译遵循 CC BY-SA 3.0 许可协议