为什么 App 不能用 HttpOnly Cookie?

最新推荐文章于 2026-06-22 22:46:40 发布
原创 最新推荐文章于 2026-06-22 22:46:40 发布 · 366 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#java #前端 #javascript

Web 端可以用 HttpOnly Cookie,但 App 端不能用。

所以多端统一登录时,不能只依赖 HttpOnly Cookie,需要 Token 方案兼容两端。

为什么 Web 可以用 HttpOnly Cookie?

因为:

  • 浏览器天然支持 Cookie

  • 浏览器会自动携带 Cookie

  • HttpOnly 能防止 XSS 读取 Token

  • SameSite 能防 CSRF

所以 Web 端用 HttpOnly Cookie 是最安全、最推荐的方式。

为什么 App 不能用 HttpOnly Cookie?

因为:

  • App 没有浏览器 Cookie 机制

  • App 无法自动携带 Cookie

  • App 无法读取 HttpOnly Cookie(因为 JS 也读不到)

  • App 需要自己存储 Token(通常是安全存储,如 Keychain / Keystore)

所以 App 端必须使用:

  • Authorization: Bearer <token>

  • 或者 本地安全存储 + 手动附带 Token

那多端统一登录怎么设计?

你可以这样回答(非常专业):

多端统一登录时,我们通常采用 JWT + 双 Token(Access + Refresh) 的方案。 Web 端把 Token 放在 HttpOnly Cookie 中,App 端把 Token 放在安全存储中,两端都使用同一套 Token 体系,但存储方式不同。

架构如下:

Token 存储方式请求携带方式
WebHttpOnly Cookie浏览器自动携带
App安全存储(Keychain/Keystore)Authorization Header

统一登录的关键点(面试官会继续问)

你可以这样讲:

1. Token 体系统一

  • Access Token:短期有效(15min~2h)

  • Refresh Token:长期有效(7~30 天)

  • 两端都用同一套 Token

2. Web 和 App 的存储方式不同

  • Web:HttpOnly Cookie(防 XSS)

  • App:安全存储(防逆向、Hook)

3. 后端统一验证 Token

  • 不关心 Token 来自 Cookie 还是 Header

  • 只验证签名、过期时间、黑名单等

4. 退出登录 / 强制下线

  • 使用 Redis 黑名单

  • 两端都能立即失效

面试官可能追问:

“那 Web 和 App 怎么同时支持?”

你可以这样回答:

后端提供两种 Token 读取方式:

  • Web:从 Cookie 中读取

  • App:从 Authorization Header 中读取

认证逻辑统一,读取方式不同。

这句话非常加分。

最终总结(你可以直接背)

多端统一登录时,Web 可以用 HttpOnly Cookie,但 App 不能使用 Cookie 机制,因此不能只依赖 HttpOnly Cookie。

我们通常采用 JWT + Access/Refresh Token 的统一认证体系:

  • Web 把 Token 放在 HttpOnly Cookie 中

  • App 把 Token 放在安全存储中

后端统一验证 Token,不关心 Token 来自 Cookie 还是 Header,从而实现多端统一登录。

dreams_dream
关注
华为手机无法获取cookie (uniapp) SameSite
u013676011的博客
03-23 2240
背景 去年开发的一款应用,在pc和移动端除了华为的手机都能正常的获取cookie, 只有华为手机无法获取cookie. 由于已经到项目尾期,在更换成token很麻烦, 所以选择寻找问题所在. 如何解决 在chrome 80版本中, 默认策略把 SameSite 的值设置为了Lax, 这导致跨域直接失效. 所以需要在后端Cookie 的SameSite的值改为None. 但是当 SameSite =None, 必须同启用Secure的属性. 启用Secure,则必须开启HTTPS, 所以解决方法就很简答了
UniApp使用自定义WebView如何获取httpOnlyCookie
m0_55826475的博客
03-11 1750
在开发uniapp应用,有需要在自定义的webview中获取带有HttpOnly属性的cookie,而由于安全限制,JavaScript无法直接访问HttpOnly cookie。为了解决这一问题,可以通过开发Android原生插件并引入到uniapp项目中,利用原生代码来获取cookie
Cookie、Session --学习笔记
m0_71386740的博客
04-27 1632
基于Cookie实现基于 Session 来进行会话跟踪,浏览器在第一次请求服务器的候,我们就可以直接在服务器当中来获取到会话对象Session。如果是第一次请求Session ,会话对象是存在的,这个候服务器会自动的创建一个会话对象Session。而每一个会话对象Session ,它都有一个ID,称之为 Session 的ID接下来,服务器端在给浏览器响应数据的候,它会将 Session 的 ID 通过 Cookie 响应给浏览器。其实在响应头当中增加了一个 Set-Cookie 响应头。
cookiehttpOnly属性
harmsworth的博客
07-06 7582
cookiehttpOnly属性 前言 cookie 有一个 httpOnly 属性,可以设置一个 只能在服务端设置的cookie 的键值对,即禁止客户端修改携带 httpOnly 属性的 cookie 键值对。 代码 // app.js const http = require('http') const userId = 123456 let resData = { time: Date...
限制访问CookieHttpOnly的作用
你若盛开,清风自来
12-21 1731
🤍 前端开发工程师、技术日更博主、已过CET6🍨、23年度博客之星前端领域TOP1🕠高级专题作者、打造专栏🍚签约作者、上架课程💬 前些天发现了一个巨牛的,通俗易懂,风趣幽默,忍住分享一下给大家。。
WebSocket鉴权问题--websocket不能使用HttpOnlycookie
gdyhvy的博客
01-10 1459
服务器端使用jwt做http鉴权,保存在cookie中。 但websocket不能使用HttpOnlycookie问题。 服务端 port=3030: const app = express() const http = require('http') const server = http.createServer(app); const {Server} = require("socket.io"); const io = new Server(server,{ cors:{
设置 HttpOnly Cookie 存储 JWT示例
dreams_dream的博客
09-07 430
设置了 HttpOnly 属性,防止 JS 访问。仅用于开发环境,生产环境必须启用 HTTPS。:开发环境允许 HTTP,生产强制 HTTPS。用于读取 Cookie 中的 Token。设置 HttpOnly Cookie。读取 Cookie 中的 Token。验证 Token 合法性和过期间。防止跨站请求伪造(CSRF)。
基于java Web 训练管理系统设计与实现 源码 论文
qq_251836457的博客
06-17 2024
用户信息实体,主要包括 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍间,照片,班级,排 等信息实体。1 用户( 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍间,照片,班级,排 )讨论信息实体,主要包括 讨论编号,疑问,说明,发布人,发布间,状态,回答 等信息实体。系统主要用户实体,班级实体,排实体,科目实体,成绩实体,教学视频实体,教学理论实体,讨论实体,如图所示。班级信息实体,主要包括 班级编号,班级 等信息实体。
24-Django请求全链路-WSGI到数据库响应的完整旅程
weixin_44081096的博客
06-15 1534
你点了浏览器的"刷新"按钮,0.5 秒后页面渲染完毕。这 0.5 秒里发生了什么?本文把 Django 处理一个 HTTP 请求的完整链路拆为六个步骤:WSGI Server 接收 TCP 连接 → 中间件栈的洋葱模型逐层处理 → URL 路由匹配 → View 执行业务逻辑 → ORM 生成 SQL 并发送到数据库 → Template 渲染或 JSON 序列化返回响应。每一步都配有对应的源码位置和关键代码片段,读完你能对一个请求的全生命周期建立起清晰的空间模型。穿插真实调试经历——一个中间件错误导致所有
架构--数据库层面--读写分离
在技术领域里形成深刻,全面的认识,知道来龙去脉,深入浅出的讲到实用点。
06-21 403
快速入门/学习:推荐方案一 (+ AOP),能让你深入理解原理,实现也直接。生产环境/复杂需求:推荐方案二 (ShardingSphere-JDBC),它功能强大且对代码侵入小,能更好地应对未来扩展。大规模/运维主导:可考虑方案三 (独立中间件),实现应用与数据库的解耦。另外要强调一下,springboot直接连mycat就可以了,在mycat的配置文件里做配置,实现主从分离。
Java项目版本自增+打包上传服务器部署脚本
蔡定努
06-22 25
摘要: 该Bash脚本实现了Java项目的自动化版本管理、打包和部署功能,主要特点包括: 自动读取Maven四段式版本号并智能进位(如1.0.0.99→1.0.1.0) 更新pom.xml版本后跳过测试打包,通过SCP上传至指定CentOS服务器 适配1Panel面板的Java项目部署场景,支持SSH免密登录 包含严格的错误校验机制(Maven环境检测、版本格式验证等) 提供彩色日志输出和详细使用说明,仅需修改顶部4个配置变量即可使用 前置要求:需配置好Maven环境、服务器SSH免密登录,且项目使用标准四
【Spring Cloud 微服务】——第一章 微服务入门与服务拆分
最新发布
2403_88453964的博客
06-22 105
本文介绍了微服务架构的核心概念、拆分原则及实践方法。首先对比了单体架构与微服务架构的优缺点,指出微服务通过拆分功能模块为独立服务,解决了团队协作、发布效率和系统可用性问题。文章详细讲解了微服务的拆分机(初创项目先单体后拆分,大型项目直接采用)和拆分原则(高内聚、低耦合),并以电商系统为例演示了商品和购物车服务的拆分过程。最后通过RestTemplate实现服务间HTTP调用,展示了微服务间通信的基本方式。文章还预告了后续将介绍服务注册发现和OpenFeign远程调用技术。
SpringMVC 入门到实战 RESTFul 49-55
道友
06-16 664
SpringMVC 入门到实战 RESTFul 49-55
MyBatis-Plus 完整实际使用整理
m0_73837751的博客
06-18 215
数据库操作方式总览│├── 方式一:BaseMapper + Wrapper(大厂主流)│ ├── 基础 CRUD:selectById / insert / updateById / deleteById│ ├── 条件操作:selectList(LambdaQueryWrapper) / delete(wrapper) ...│ ├── 分页:selectPage(IPage, wrapper) + 分页插件。
Java数据库连接池学习
u011237796的博客
06-18 221
表示并发情况下最大可从连接池中获取的连接数。连接池基本的思想是在系统初始化的候,将数据库连接作为对象存储在内存中,当用户需要访问数据库,并非建立一个新的连接,而是从连接池中取出一个已建立的空闲连接对象。maxIdle对应的连接,实际上是连接池保持的长连接,这也是连接池发挥优势的部分,理论上讲保持较多的长连接,在应用请求可以更快的响应,但是过多的连接保持,反而会消耗数据库大量的资源,因此maxIdle也并不是越大越好,同上例我们建议将 maxIdle设置成50-100中靠近50的数字,例如55。
Java 程序员第 43 阶段05:微服务整合大模型,跨服务调用架构设计实战,Seata分布式事务实战
fuleigang的专栏
06-15 1343
第一阶段:分支事务执行SQL,Seata解析SQL获取表结构,生成数据镜像(before image),执行SQL获取数据变化,生成数据镜像(after image),将前后镜像和SQL信息注册到TC。本章深入探讨了Seata分布式事务的实战应用,从四种事务模式的原理机制出发,详细讲解了AT、TCC、SAGA和XA模式的工作原理和适用场景。Seata通过XID(全局事务ID)串联各个分支事务,每个参与服务的每次SQL执行都会被Seata代理,自动记录前后镜像数据,实现无侵入式的分布式事务管理。
JUC 总结:从 Java 内存模型到线程池的并发核心梳理
2301_80821045的博客
06-15 626
本文总结了Java并发编程(JUC)的基础知识要点: 进程与线程:进程是资源分配的最小单位,线程是调度的最小单位,线程更轻量级且切换成本低; 线程创建方式:继承Thread类、实现Runnable/Callable接口、使用线程池(推荐); Runnable与Callable区别:Callable有返回值且可抛异常,需通过FutureTask适配; 线程状态:新建、可运行、阻塞、等待、定等待和终止6种状态; 线程控制:start()启动新线程,run()同步执行;join()实现顺序执行,CountDow
1.1 douckr面试题
你是人间四月天
06-22 276
没问题!想在 Docker 面试中显得经验丰富,关键不是背概念,而是展现出你。下面我为你精选了 6 道高频实战题,并附上“高手回答思路”和“加分话术”,让你快速掌握精髓。
GPT-4o mini 轻量化落地实战指南
2503_91800161的博客
06-22 281
这篇文章将深入探讨十个具体的落地场景,从高频互动的客服系统到批量化的内容生成,再到教育领域的个性化应用,分享如何在实际工程中拆解难题。无论你是负责后端架构的技术负责人,还是正在寻找降本增效方案的全栈开发者,都能从中找到可复用的实践路径。我们将避开宏大的理论叙述,直接聚焦于代码逻辑、资源调度策略以及数据流转的优化细节,帮助你在真实的业务环境中快速落地智能应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值