时间:2016.12.26
背景:在 iOS 开发中,大部分应用的用户登录机制都是基于 token 令牌的,我之前做过的项目也都是如此,但是在我现在的新项目中,由于服务端同学是沿用他们以前的 cookie 登录机制,所以我也不得不换种方式来对(zhe)待(teng)登(yi)录(xia)问题了。

1.什么是 cookie?cookie 和 token 有何区别?
cookie 是什么呢?cookie 在英语中通常是指饼干,当然,我这里指的不是,而是 HTTP 网络请求中用来记录用户信息的一种数据形式或者说一种机制。

cookie:在客户端发送登录操作的网络请求时,服务器在登陆成功返回的 response header 中会添加一个 set-cookie 的值,作为用户的身份认证,如果是浏览器的话,后面每一次发请求时,浏览器都会自动将之前获取到的 cookie 值插入到 request header 的 cookie 字段中,而且 cookie 本身包括多个属性,比如有效期 expires、域 domain等,因此采用 cookie 的登录机制需要考虑到对 cookie 本身的管理。cookie 主要是在 web 领域使用。

token:相比 cookie,token 令牌的登录机制要更轻,直观的感受是,登录认证成功后,服务器返回 token 值,然后在请求的 url 中拼接一段 “token=%^&%#&%#&” 就完事了,至于什么跨域、安全策略什么的,根本没他什么事,客户端管理 token 也非常简单,只要看好这个字符串就行了,所以 token 一般在移动端用的比较多。当然,移动应用中的 web view 还是要处理 cookie 的。

2.iOS 中的网络请求中如何处理 cookie?
在开始处理 cookie 时,需要了解两个类,NSHTTPCookie 和 NSHTTPCookieStorage,在用的时候要注意几点:

  • 在请求时,NSURLSession 和 NSURLConnection 会自动帮我们管理 cookie 的,但并不完善。AFNetworking 默认设置了 NSURLRequest 的 HTTPShouldHandleCookies 属性为 YES。
  • 如果服务器设置了 Cookie 失效时间 expiresDate,并且 sessionOnly 为 FALSE,Cookie 就会被持久化到文件中,下次启动app会自动加载沙盒中的 Cookies。如果 sessionOnly 为 TRUE 或者 expiresDate 为空,则不会自动持久化到沙盒。
  • 手动设置的 Cookie 不会被 NSHTTPCookieStorage 自动持久化到沙盒。
  • 不能简单地依赖 NSHTTPCookieStorage 的 setCookie: 方法来做 cookie 的存储,因为在执行 setCookie:时, cookie 并不是马上就更新了。参考: NSHTTPCookieStorage state not saved on app exit. Any definitive knowledge/documentation out there?
  • cookie 的 httpOnly 属性是用来设置 cookie 是否能通过 js 去访问。默认情况下,cookie不会带httpOnly选项(即为空),所以默认情况下,客户端是可以通过 js 代码去访问(包括读取、修改、删除等)这个cookie的。当cookie带 httpOnly 选项时,客户端则无法通过js代码去访问(包括读取、修改、删除等)这个cookie。参考:聊一聊 cookie

下面切入正题吧,我是如何做的呢?
首先是登录。登录成功后,服务器在 HTTP response header 中的 set-cookie 字段中返回了 cookie 的值,我们可已通过多种方式获取到我们想要的 cookie 值,我是采用了下面这种方式来读取的,因为我们的服务器没有设置 expireDate,所以我就自己做持久化存储了。

1
2
3
4
5
6
7
8
9
10
NSDictionary *headerFields = [(NSHTTPURLResponse *)response allHeaderFields];
NSArray <NSHTTPCookie *> *cookies =[NSHTTPCookieStorage sharedHTTPCookieStorage].cookies; // 只要服务器在请求返回时带了 cookie,NSHTTPCookieStorage 就会自动帮我们管理 cookie
DDLogDebug(@"\n shared cookies %@\n", cookies);

for (NSHTTPCookie *aCookie in cookies) {
if ([aCookie.name isEqualToString:@"BUA"]) { // 获取并保存用户cookie
[[NSUserDefaults standardUserDefaults] setObject:cookie.properties forKey:kYIDUserDefaultUserCookieKey]; // 自己做持久化存储
break;
}
}

然后是请求时添加 cookie 到 request header。实际上这一步系统(NSURLSession / NSURLConnection)已经自动帮我们处理了,具体细节我也不太清楚。

还要考虑重启应用后的操作,由于我们的服务器没有设置 expireDate 以及上面提到的其他原因,在程序重启时,NSHTTPCookieStorage 并不会保存上一次使用应用时的 cookie,所以我们需要在程序启动时读取自己保存的 cookie,同时更新 NSHTTPCookieStorage 的 cookie。

1
2
3
4
5
6
7
- (BOOL)application:(UIApplication *)application didFinishLaunchingWithOptions:(NSDictionary *)launchOptions { {
NSDictionary *cookieProperties = [[NSUserDefaults standardUserDefaults] objectForKey:kYIDUserDefaultUserCookieKey];
NSHTTPCookie *cookie = [NSHTTPCookie cookieWithProperties:cookieProperties];
[[NSHTTPCookieStorage sharedHTTPCookieStorage] setCookie:cookie];

...
}

关于 cookie 的有效期处理,在使用 cookie 时需要自己判断 cookie 是否过期,NSHTTPCookieStorage 是不会自动帮我们处理的,更何况我们自己还做了本地存储,所以我们在用到 cookie 时还需要检查 cookie 是否过期,如果过期了,就要废弃掉失效的 cookie。我是在用户的登录状态方法中做的处理:

1
2
3
4
5
6
7
8
- (BOOL)isLoggedIn {

if (![self.cookie yid_isNotExpired]) { // cookie 失效,自动退出登录
[self logout]; // 删除用户信息、cookie
}

return [self.cookie yid_isNotEmpty];
}

最后还要记得在退出登录时也要删除 cookie:

1
2
[[NSHTTPCookieStorage sharedHTTPCookieStorage] deleteCookie:[self userCookie]];
[[NSUserDefaults standardUserDefaults] removeObjectForKey:kYIDUserDefaultUserCookieKey];

3.iOS 中的原生网络请求如何与 webView 实现 cookie 共享?

  • UIWebView 是属于 URL Loading System 的一部分,所以系统会自动帮我们将 NSHTTPCookieStorage 中的 cookie 同步到 UIWebView 中去。

  • 由于 WKWebView 是独立于 URL Loading System 之外的,所以 WKWebView 所有的 cookie 管理都需要开发者自己操作,具体方法可以参考 stackoverflow 上的解决方案:Can I set the cookies to be used by a WKWebView?,也有国内开发者根据这个答案造了一个轮子 haifengkao/YWebView

遗留问题:
1.服务器是在什么时候更新/生成cookie ?
2.登陆成功后,系统是如何自动添加 cookie 到 request header 中去的?
3.服务器是怎么识别客户端的 cookie 的?

参考资料

  1. Wikipedia - HTTP cookie:
    https://en.wikipedia.org/wiki/HTTP_cookie
  2. 聊一聊 cookie:
    https://segmentfault.com/a/1190000004556040
  3. NSHTTPCookieStorage 官方文档:
    https://developer.apple.com/reference/foundation/nshttpcookiestorage
    中文版:http://www.jianshu.com/p/b10652a1803e
  4. iOS平台下cookie的使用:
    http://www.jianshu.com/p/65094611980c
  5. iOS HTTP网络请求Cookie的读取与写入(NSHTTPCookieStorage)
    http://www.skyfox.org/ios-url-request-cookie.html
  6. NSHTTPCookieStorage state not saved on app exit. Any definitive knowledge/documentation out there?
    http://stackoverflow.com/questions/5837702/nshttpcookiestorage-state-not-saved-on-app-exit-any-definitive-knowledge-docume
  7. app开发token、cookie的区别,账号密码加密又是如何保证安全?
    https://www.zhihu.com/question/39137156
  8. 为什么 APP 要用 token 而不用 session 认证?
    https://www.v2ex.com/t/148426
  9. How to manage sessions with AFNetworking?
    http://stackoverflow.com/questions/10984374/how-to-manage-sessions-with-afnetworking/11039784#11039784
  10. Persisting Cookies In An iOS Application?
    http://stackoverflow.com/questions/4597763/persisting-cookies-in-an-ios-application
  11. NSHTTPCookieStorage and Cookie Expiration Date
    http://stackoverflow.com/questions/7203641/nshttpcookiestorage-and-cookie-expiration-date/7209706#7209706
  12. Can I set the cookies to be used by a WKWebView?http://stackoverflow.com/questions/26573137/can-i-set-the-cookies-to-be-used-by-a-wkwebview
  13. haifengkao/YWebView:https://github.com/haifengkao/YWebView