在進(jìn)行APP+H5混合開發(fā)的時(shí)候，一些功能是用native方法實(shí)現(xiàn)的,如登陸姑蓝，一些功能是用H5實(shí)現(xiàn)的章喉。所以往往需要將在native方法登陸的狀態(tài)同步到H5中避免再次登陸。這種情況在Android開發(fā)中比較常見司蔬，因?yàn)锳ndroid不會自動同步cookie到WebView。做iOS開發(fā)則不用擔(dān)心這個(gè)問題姨蝴，因?yàn)閕OS內(nèi)部已經(jīng)實(shí)現(xiàn)了cookie同步俊啼。本文將會介紹兩種cookie同步的方式，并重點(diǎn)分析WebView的cookie機(jī)制左医。在開始之前先講一下基于session的登錄驗(yàn)證授帕。

基于session的登錄驗(yàn)證：
基于session的登錄驗(yàn)證，會在程序請求接口的時(shí)候判斷服務(wù)器端是否有當(dāng)前會話的session浮梢，如果沒有則被認(rèn)為沒有登錄跛十。客戶端沒有session這一概念秕硝，但有cookie與其對應(yīng)芥映。每一個(gè)session都有一個(gè)session id作為唯一標(biāo)識。在登錄成功后服務(wù)器會在請求頭中返回cookie，cookie包含著這次登錄會話的session id奈偏，在接下來的請求中只需要將登陸返回的cookie設(shè)置到請求頭中便可以通過驗(yàn)證坞嘀。

訪問服務(wù)器流程：
1）第一次訪問服務(wù)器的時(shí)候徒恋，會在響應(yīng)頭里面看到Set-Cookie信息（只有在首次訪問服務(wù)器的時(shí)候才會在響應(yīng)頭中出現(xiàn)該信息）

image.png

上面的圖JSESSIONID=ghco9xdnaco31gmafukxchph;Path=/acr蒲凶，

瀏覽器會根據(jù)響應(yīng)頭的set-cookie信息設(shè)置瀏覽器的cookie并保存之勉吻，注意此cookie由于沒有設(shè)置cookie有效日期秒拔，所以在關(guān)閉瀏覽器的情況下會丟失掉這個(gè)cookie。

每次webview打開的url后串塑，后臺的jsessionid都是不同的（最開始是沒有的）战转，無法區(qū)分同一個(gè)用戶躬审⊥髦ぃ【請求cookie中的jsessionid是變化的】,所以訪問需要登錄信息（jsessionid）的頁面時(shí)必須同步cookie矮男。如果遇到ajax沒有同步成功的情況，可以考慮url傳參刽严。對于第一次請求重要接口沒有jsessionid這種問題昂灵，就搞一次其他請求先于這個(gè)接口，把重要的接口放在后面就肯定有jsessionid啦舞萄。

2）當(dāng)再次請求的時(shí)候（非首次請求），瀏覽器會在請求頭里將cookie發(fā)送給服務(wù)器(每次請求都是這樣)

（JSESSIONID=ghco9xdnaco31gmafukxchph）

image.png

不難發(fā)現(xiàn)這個(gè)的jsessionid和上面的jsessionid是一樣的

3）為什么除了首次請求之外每次請求都會發(fā)送這個(gè)cookie呢（在這里確切地說是發(fā)送這個(gè)jsessionid）管削？

事實(shí)上當(dāng)用戶訪問服務(wù)器的時(shí)候會為每一個(gè)用戶開啟一個(gè)session倒脓，瀏覽器是怎么判斷這個(gè)session到底是屬于哪個(gè)用戶呢？jsessionid的作用就體現(xiàn)出來了：jsessionid就是用來判斷當(dāng)前用戶對應(yīng)于哪個(gè)session含思。換句話說服務(wù)器識別session的方法是通過jsessionid來告訴服務(wù)器該客戶端的session在內(nèi)存的什么地方崎弃。

事實(shí)上jsessionid ==request.getSession().getId()

4)總結(jié)，jsessionid的工作流程可以簡單用下面的圖表示：

image.png

同步方式：

方式一：客戶端將cookie傳給H5

• 客戶端：將登陸時(shí)從服務(wù)器取得的cookie傳給html含潘。
• html：ajax從參數(shù)中取出客戶端傳來的cookie饲做，ajax發(fā)請求時(shí)將客戶端傳來cookie設(shè)置到請求頭中。

ajax修改cookie的方式

$.ajax({
   headers: {'Cookie' : document.cookie },
   url: "sub.domain.com",
   success: function(){}
})

缺點(diǎn)：

1. 兼容性差遏弱，多數(shù)瀏覽器為了安全起見盆均，都做了禁止修改請求中的cookie的限制。比如iOS的WebView會攔截ajax修改的cookie漱逸。
2. 繁瑣泪姨，每次請求都需要拼接cookie作為參數(shù)，比較繁瑣饰抒。

方式二：將cookie同步到WebView(推薦)

原理分析：

WebView的cookie機(jī)制

WebView是基于webkit內(nèi)核的UI控件肮砾，相當(dāng)于一個(gè)瀏覽器客戶端。它會在本地維護(hù)每次會話的cookie(保存在data/data/package_name/app_WebView/Cookies.db)袋坑。

當(dāng)WebView加載URL的時(shí)候,WebView會從本地讀取該URL對應(yīng)的cookie仗处，并攜帶該cookie與服務(wù)器進(jìn)行通信。
WebView通過android.webkit.CookieManager類來維護(hù)cookie。CookieManager是WebView的cookie管理類婆誓。

 /**
     * 將cookie同步到WebView
     *
     * @param url    WebView要加載的url
     * @param cookie 要同步的cookie
     * @return true 同步cookie成功吃环，false同步cookie失敗
     * @Author JPH
     */
    public void syncCookie(String url, List<Cookie> cookies) {
        if (Build.VERSION.SDK_INT < Build.VERSION_CODES.LOLLIPOP) {
            CookieSyncManager.createInstance(this);
        }
        CookieManager cookieManager = CookieManager.getInstance();
        cookieManager.setAcceptCookie(true);
        cookieManager.removeAllCookie();
        StringBuffer sb = new StringBuffer();
 
        for (Cookie cookie : cookies) {
            String cookieName = cookie.getName();
            String cookieValue = cookie.getValue();
            if (!TextUtils.isEmpty(cookieName)
                    && !TextUtils.isEmpty(cookieValue)) {
                sb.append(cookieName + "=");
                sb.append(cookieValue + ";");
            }
        }
 
 
        String[] cookie = sb.toString().split(";");
        for (int i = 0; i < cookie.length; i++) {
            Log.i(TAG,"cookie:"+cookie[i]);
            cookieManager.setCookie(url, cookie[i]);// cookies是在HttpClient中獲得的cookie
        }
        CookieSyncManager.getInstance().sync();
    }

如果設(shè)置成功，通過cookieManager.getCookie(url)方法就可取得剛才設(shè)置的cookie旷档，如果兩次設(shè)置cookie的url相同模叙，則CookieManager會將上一次設(shè)置的cookie覆蓋，已達(dá)到更新的效果鞋屈。
下面我們查看一下Cookie數(shù)據(jù)庫中發(fā)生的變化范咨。

提示：
1. 同步cookie要在WebView加載url之前，否則WebView無法獲得相應(yīng)的cookie厂庇，也就無法通過驗(yàn)證渠啊。
2. 每次登錄成功后都需要調(diào)用”syncCookie”方法將cookie同步到WebView中，同時(shí)也達(dá)到了更新WebView的cookie权旷。如果登錄后沒有及時(shí)將cookie同步到WebView可能導(dǎo)致WebView拿的是舊的session id和服務(wù)器進(jìn)行通信替蛉。

優(yōu)點(diǎn)：

1. 方便，只需要在登陸后將cookie同步到WebView即可拄氯，省去了每次請求都需要設(shè)置一次的繁瑣躲查。
2. 兼容性好，因?yàn)槭窍到y(tǒng)原生支持的译柏，所以兼容性自然比方式一要好镣煮，不存在cookie被攔截的問題。

同步Cookie到騰訊X5 WebView

很多人在使用它騰訊提供的X5服務(wù)器鄙麦，來替代Android原生的WebView典唇，如果你正是使用騰訊X5內(nèi)核的話，同樣NoHttp也支持Cookie同步胯府。

步驟和上面原生WebView沒區(qū)別介衔，但是要注意幾點(diǎn)：

1、繼承不是系統(tǒng)的android.webkit.WebView骂因，而是com.tencent.smtt.sdk.WebView炎咖。
2、同步到X5內(nèi)核時(shí)不再是android.webkit.CookieManagerr侣签，而是com.tencent.smtt.sdk.CookieManager塘装。
3、同步到X5內(nèi)核時(shí)不再是android.webkit.CookieSyncManager影所，而是com.tencent.smtt.sdk.CookieSyncManager蹦肴。