使用 Java 将 JWT 压缩在 cookie 中

Question

我正在使用 Java servlet 将带有 JWT 信息的 cookie 返回给客户端。

我返回 2 个 cookie。

1 => Token_id，这个cookie存储了id_token

2 => refresh_token，这个token存储了token过期时要发送的刷新token。

问题是，这些信息太大了，所以浏览器会报这个错误：

431（请求标头字段太大）

为了解决这个问题，我想将 refresh_token 压缩存储，当我使用这些信息时我会解压缩。

我阅读了有关压缩的信息并尝试使用 GZIPCompress 字符串，如下所示：

 public static String compress(final String str) throws IOException {
        if ((str == null) || (str.length() == 0)) {
            return null;
        }
        ByteArrayOutputStream obj = new ByteArrayOutputStream();
        GZIPOutputStream gzip = new GZIPOutputStream(obj);
        gzip.write(str.getBytes("UTF-8"));
        gzip.flush();
        gzip.close();
        return obj.toString();
    }

当我将压缩字符串添加到 cookie 时，我有这个异常：

Illegal character in cookie value

我无法将 refresh_token 存储在我的服务器中。 如何压缩大字符串以存储在 cookie 中？我需要减小 value cookie 的大小。

Answer 1

cookie 只能存储字符串，但您存储的是二进制数据。

压缩过程的结果是二进制的，不能用字符串表示，即使你调用obj.toString();。您需要将结果编码为 base64 以获得可以存储在 cookie 中的字符串，但是 base64 会增加大约 30% 的大小，所以我不知道这对您的情况是否有意义。

 //storage
 cookie = base64(gzip(str))

 //retrieval
 str = gunzip(base64decode(cookie))

刷新令牌通常包含在一个随机字符串中。可能是您包含了太多数据？