iOS Cookie 概述

Cookie 提供服务器存储相关数据到客户端的一种解决方案, 服务器通过Response中的Http-Header的Set-Cookie来将对应的Cookie持久化到本地的问题见, 当APP下次请求该域名的时候, 会将之前缓存的Cookies信息, 一起发送给服务端, 服务端可以根据Cookie信息来做下一步处理. 可以将Cookie当做服务器分辨某个终端设备的凭证, 一般iOS中可以用来判断该设备是否可以自动登录, 是否有登录态.

我们碰到的Cookie可以分成以下两类:

• Session Cookie -- 会话Cookie是临时Cookie, 在一次会话中有效, 当APP退出以后,该Cookie会自动失效, 被系统删除.
• 持久化Cookie -- 持久化Cookie会将Cookie存储在APP的沙盒中,在APP退出以后,沙盒中的Cookie依然存在, 不会被删除.

iOS系统中的URL Loading System和WebKit.framework

我们知道, 在iOS中每个单独app都一个一个独立的数据区域, 不同的app数据区域互相不会影响.

Apple官方文档中有以下一段:

The URL loading system automatically sends any stored cookies appropriate for an NSURLRequest object unless the request specifies not to send cookies. Likewise, cookies returned in an NSURLResponse object are accepted in accordance with the current cookie acceptance policy.

我们知道iOS中有URL Loading System, 不论我们使用的是UIWebView, 还是系统原生的NSURLSession或者第三方库AFNetworking, 他们都是在这个URL Loading System之上的, 因此我们可以通过NSURLProtocol去自定义我们的网络操作. 而上面一段文字,我们理解一下, URL Loading System会帮我们做下面两个事情:

• 1. NSURLRequest在请求发送的时候, 会自动带上已经存储在Cookie Storage中的cookies, 除非我们设置了NSURLRequest的HTTPShouldHandleCookies属性为不处理Cookie.
• 2. NSURLResponse会根据当前APP中的NSHTTPCookieStorage的cookieAcceptPolicy, 选择是否将响应头中的Cookie存储在Cookie Storage中.

在iOS8以后, 苹果又推出了WKWebView, 它是在WebKit.framework中的一套新的体系, 它不依赖URL Loading System, 因此需要区分一下不同网络基础体系对Cookie产生的影响:

• NSURLSession/NSURLRequest/NSURLConnection -- 在一个app内, 共享Shared Cookie Storage(底层会走URL Loading System).
• UIWebView -- 在一个app内, 每个UIWebView实例会继承app中的 ``Shared Cookie Storage. (实际也可以规为第一条, 因为我们使用UIWebView时, 底层会创建NSURLRequest, 会走URL Loading System`)
• WKWebview -- 每个WKWebView的实例对象都有一个与它自己关联的 cookie storage!!!, 我们可以参考WKHTTPCookieStore.(与APP 的Shared Cookie Storage互相独立!!!!)
• 特殊情况: App group -- 通过sharedCookieStorageForGroupContainerIdentifier用这个方法可以获取一个 app group 相关的cookies存储区. 方便我们用同一个证书发布的app共享CookieStorage

NSURLCache和NSHTTPCookieStroage无法操作(WKWebView)WebCore进程的缓存和Cookie。WKWebView实例不会把Cookie存入到App标准的的Cookie容器(NSHTTPCookieStorage)中,因为 NSURLSession/NSURLConnection等网络请求使用NSHTTPCookieStorage进行访问Cookie,所以不能访问WKWebView的Cookie，现象就是WKWebView存了Cookie，其他的网络类如NSURLSession/NSURLConnection却看不到。

iOS中的Cookie相关的类

iOS 中使用了NSHTTPCookie, NSHTTPCookieStorage两个类来处理Cookie相关的内容.

1. NSHTTPCookie

每一个被存储的Cookie都可以用 NSHTTPCookie的实例来表示.Cookie中有以下重要的属性:

• NSHTTPCookieValue
• NSHTTPCookieName
• NSHTTPCookiePath
• NSHTTPCookieDomain
• NSHTTPCookieVersion
• NSHTTPCookieExpires
• NSHTTPCookieDiscard -- session-Only

我们可以用以下方式创建Cookie, 或者用其他的方式, 请参考官方文档:

NSMutableDictionary *cookieProperties = [NSMutableDictionary dictionary];

[cookieProperties setObject:@"username" forKey:NSHTTPCookieName]; // Cookie 名称
[cookieProperties setObject:@"my ios cookie" forKey:NSHTTPCookieValue]; // Cookie 值
[cookieProperties setObject:@".webank.com" forKey:NSHTTPCookieDomain]; // Cookie domain
[cookieProperties setObject:@".webank.com" forKey:NSHTTPCookieOriginURL]; // Origin URL
[cookieProperties setObject:@"/" forKey:NSHTTPCookiePath]; // Cookie Path 路径使用
[cookieProperties setObject:@"0" forKey:NSHTTPCookieVersion]; // Cookie 的版本号, 目前只有 0 . 1 两个版本
[cookieProperties setObject:[NSDate dateWithTimeIntervalSinceNow:5] forKey:NSHTTPCookieExpires];//设置失效时间 这里设置的是5s

// String value must be either "TRUE" or "FALSE". This cookie attribute is optional. The default is "FALSE", unless this cookie is version 1 or greater and a value for NSHTTPCookieMaximumAge is not specified, in which case it is assumed to be "TRUE".
[cookieProperties setObject:@"0" forKey:NSHTTPCookieDiscard]; //设置sessionOnly, 表示这个 Cookie 是否只支持 一次session, 如果session结束, 那么cookie 失效

NSHTTPCookie *cookie = [NSHTTPCookie cookieWithProperties:cookieProperties];

// **手动** 将数据请求存储到Cookie Storage中
[[NSHTTPCookieStorage sharedHTTPCookieStorage] setCookie:cookie];

2. NSHTTPCookieStorage

它是一个单例设计, 用来管理Cookie存储的单例. NSHTTPCookieStorage单例中的cookieAcceptPolicy属性也能够修改系统对Cookie的处理策略, 有以下几种模式:

• NSHTTPCookieAcceptPolicyAlways --- Accept all cookies.
• NSHTTPCookieAcceptPolicyNever --- Reject all cookies.
• NSHTTPCookieAcceptPolicyOnlyFromMainDocumentDomain --- Accept cookies only from the main document domain.

除了系统的Cookie Storage自动处理Cookie以外, 我们也可以手动通过NSHTTPCookieStorage的setCookie,deleteCookie等方法来增删改查Cookie Storage中的内容.

实际使用中发现, iOS的Cookie Storage存在者一些问题, React Native持久化sessions #9中就提到, 系统自动帮我们处理Cookie是不靠谱的cookie存储, 因此在实际开发中我们尽量自己主动去处理Cookie(在NSURLRequest中手动写入Cookie, 在收到NSHTTPResponse响应时, 手动持久化收到的Cookie).

也可以参考作者的另外一篇文章, 里面简述了Cookie Storage Policy可能导致的bug -- iOS APP中后台无法种植Cookie?

iOS 使用Cookie中注意问题

• 在请求时，NSURLSession 和 NSURLConnection 会自动帮我们管理 cookie 的，但并不完善。AFNetworking 默认设置了 NSURLRequest 的 HTTPShouldHandleCookies 属性为 YES。
• 如果服务器设置Cookie的失效时expiresDate, 并且sessionOnly为False, Cookie就是持久化Cookie,会被持久化到沙盒中, App在下次启动时, 会自动将沙盒中的Cookie加载到内存中.如果sessionOnly被设置成TRUE或者, expiresDate为空, 则不会被持久化到沙盒.
• 不要简单的依赖 NSHTTPCookieStorage 的 setCookie: 方法来做 cookie 的存储，因为在执行 setCookie: 时， cookie 并不是马上就更新.NSHTTPCookieStorage state not saved on app exit. Any definitive knowledge/documentation out there?
• cookie的httpOnly属性是用来设置cookie是否能通过 js 去访问。默认情况下，cookie不会带httpOnly选项(即为空)，所以默认情况下，客户端是可以通过 js 代码去访问（包括读取、修改、删除等）这个cookie的。当cookie带httpOnly 选项时，客户端则无法通过js代码去访问（包括读取、修改、删除等）这个cookie.
• 当cookie的 name/domain/path 这3个字段都相同的时候会被覆盖.
• 关于Domain的说明: 1. 如果显式设置了 domain，则设置成什么，浏览器就存成什么；但如果没有显式设置，则浏览器会自动取 url 的 host 作为 domain 值. 2. 前面带点‘.’和不带点‘.’有啥区别： 带点：任何subdomain都可以访问，包括父domain, 不带点：只有完全一样的域名才能访问，subdomain 不能.

参考文件

聊一聊 cookie
关于ios的Cookie那些事
How can I retrieve a file using WKWebView?
React Native持久化sessions #9
如何处理 iOS 原生网络请求中的 cookie ？