删除cookie服务器端的正确方法

Question

对于我的身份验证过程，我会在用户登录时创建一个唯一令牌并将其放入用于身份验证的 cookie 中。

所以我会从服务器发送这样的东西：

Set-Cookie: token=$2a$12$T94df7ArHkpkX7RGYndcq.fKU.oRlkVLOkCBNrMilaSWnTcWtCfJC; path=/;

适用于所有浏览器。然后为了删除一个 cookie，我发送了一个类似的 cookie，其中 expires 字段设置为 1970 年 1 月 1 日

Set-Cookie: token=$2a$12$T94df7ArHkpkX7RGYndcq.fKU.oRlkVLOkCBNrMilaSWnTcWtCfJC; path=/; expires=Thu, Jan 01 1970 00:00:00 UTC; 

这在 Firefox 上运行良好，但不会删除 IE 或 Safari 上的 cookie。

那么删除 cookie 的最佳方法是什么（最好不使用 JavaScript）？ set-the-expires-in-the-past 方法似乎很笨重。还有为什么这在 FF 中有效，但在 IE 或 Safari 中无效？

Answer 1

发送带有; expires 的相同cookie 值不会破坏cookie。

通过设置一个空值来使 cookie 失效，并同时包含一个 expires 字段：

Set-Cookie: token=deleted; path=/; expires=Thu, 01 Jan 1970 00:00:00 GMT

请注意，您不能强制所有浏览器删除 cookie。客户端可以配置浏览器以使 cookie 持续存在，即使它已过期。如上所述设置值将解决此问题。

Answer 2

在我撰写此答案时，accepted answer to this question 似乎表明，当接收到 Expires 值已过去的替换 cookie 时，浏览器不需要删除 cookie。这种说法是错误的。将 Expires 设置为过去是删除 cookie 的标准、符合规范的方式，规范要求用​​户代理尊重它。

过去使用Expires 属性删除cookie 是正确的，并且是规范规定的删除cookie 的方法。 RFC 6255 的示例部分指出：

最后，为了移除一个cookie，服务器返回一个Set-Cookie header 过期日期在过去。服务器会成功 仅当 Path 和 Domain 属性在 Set-Cookie 标头匹配 cookie 时使用的值 已创建。

用户代理要求部分包括以下要求，如果用户代理收到一个同名的新 cookie，其到期日期在过去

11. 如果 [当接收到新 cookie 时] cookie 存储包含与新创建的 cookie 具有相同名称、域和路径的 cookie：

    1. ...
    2. ...
    3. 更新新创建的 cookie 的创建时间以匹配旧 cookie 的创建时间。
    4. 从 cookie 存储中删除旧 cookie。

12. 将新创建的 cookie 插入 cookie 存储区。

如果 cookie 的过期日期已过，则该 cookie 已“过期”。

用户代理必须从 cookie 存储中清除所有过期的 cookie 如果在任何时候，cookie 存储中存在过期的 cookie。

以上第 11-3、11-4 和 12 点共同表示，当接收到具有相同名称、域和路径的新 cookie 时，必须删除旧 cookie 并用新 cookie 替换。最后，关于过期 cookie 的以下要点进一步表明，在完成之后，new cookie 必须也立即被驱逐。在这一点上，该规范没有为浏览器提供任何回旋余地。如果浏览器向用户提供禁用 cookie 过期的选项，正如公认的答案所暗示的某些浏览器所做的那样，那么它将违反规范。 （这样的功能也没什么用，据我所知，它在任何浏览器中都不存在。）

那么，为什么这个问题的 OP 观察到这种方法失败了？虽然我没有清理 Internet Explorer 的副本来检查其行为，但我怀疑这是因为 OP 的 Expires 值格式错误！他们使用了这个值：

expires=Thu, Jan 01 1970 00:00:00 UTC;

但是，这在两种情况下在语法上是无效的。

规范的syntax section 规定Expires 属性的值必须是a

rfc1123-date，定义在[RFC2616], Section 3.3.1

按照上面的第二个链接，我们发现这是作为格式示例给出的：

Sun, 06 Nov 1994 08:49:37 GMT

并找到语法定义...

1. 要求日期以日月年格式书写，而不是提问者使用的月日年格式。

具体来说，它定义rfc1123-date如下：

```
rfc1123-date = wkday "," SP date1 SP time SP "GMT"
```

并像这样定义date1：

```
date1        = 2DIGIT SP month SP 4DIGIT
             ; day month year (e.g., 02 Jun 1982)
```

和

1. 不允许 UTC 作为时区。

规范包含以下关于此格式可接受的时区偏移量的声明：

所有 HTTP 日期/时间戳必须以格林威治标准时间 (GMT) 表示，无一例外。

更重要的是，如果我们深入研究这种日期时间格式的原始规范，我们会发现在 https://www.rfc-editor.org/rfc/rfc822 的初始规范中，Syntax section 将“UT”（意思是“通用时间”）列为可能的值，但 not 是否将 UTC（协调世界时）列为有效。据我所知，在这种日期格式中使用“UTC”从来没有有效；在 1982 年首次指定格式时，它不是一个有效值，并且 HTTP 规范通过禁止使用除 "格林威治标准时间”。

如果这里的提问者使用了Expires 属性，例如this，那么：

expires=Thu, 01 Jan 1970 00:00:00 GMT;

那么它可能会起作用。

Answer 3

将“过期”设置为过去的日期是删除 cookie 的标准方法。

您的问题可能是因为日期格式不常规。 IE 可能只需要 GMT。

Answer 4

使用 最大年龄=-1 而不是“过期”。它更短，对语法不那么挑剔，而且 Max-Age 优先于 Expires。

Answer 5

对于 GlassFish Jersey JAX-RS 实现，我已经通过通用方法解决了这个问题，即描述所有通用参数。至少三个参数必须相等：name(="name")、path(="/") 和 domain(=null)：

public static NewCookie createDomainCookie(String value, int maxAgeInMinutes) {
    ZonedDateTime time = ZonedDateTime.now().plusMinutes(maxAgeInMinutes);
    Date expiry = time.toInstant().toEpochMilli();
    NewCookie newCookie = new NewCookie("name", value, "/", null, Cookie.DEFAULT_VERSION,null, maxAgeInMinutes*60, expiry, false, false);
    return newCookie;
}

并使用常用的方式设置cookie：

NewCookie domainNewCookie = RsCookieHelper.createDomainCookie(token, 60);
Response res = Response.status(Response.Status.OK).cookie(domainNewCookie).build();

并删除 cookie：

NewCookie domainNewCookie = RsCookieHelper.createDomainCookie("", 0);
Response res = Response.status(Response.Status.OK).cookie(domainNewCookie).build();