摘要：例如和，這兩個(gè)域名的二級域名就是相同的代碼實(shí)現(xiàn)基于添加通過二級域名共享添加通過二級域名共享關(guān)閉瀏覽器時(shí)刪除代表關(guān)閉瀏覽器刪除負(fù)數(shù)則關(guān)閉瀏覽器失效沒有刪除參數(shù)介紹需要設(shè)置的二級域名至少是二級域名，可以是三級域名四級域名設(shè)置可以訪問的路徑。

最近在做sso單點(diǎn)登錄，sso登錄成功后后端需要把token和用戶信息以cookie的方式傳送給前端，由于項(xiàng)目是前后端分離的，這就涉及到了前后端跨域共享cookie的問題，下面就說說我在項(xiàng)目中的解決思路。

一開始在網(wǎng)上看了很多的跨域共享cookie的方法，使用最多的是jsonp和cors這兩種，今天我介紹的是另外一種---基于二級域名共享cookie，原因是簡單...(注意：使用二級域名共享cookie有一個(gè)限制條件，就是兩個(gè)域名的二級域名必須相同)

二級域名
先來介紹一下什么是二級域名，拿www.baidu.com做例子，com是這個(gè)域名的一級域名，baidu.com是這個(gè)域名的二級域名，www.baidu.com是這個(gè)域名的三級域名，以此類推...
二級域名共享就是兩個(gè)域名的的二級域名必須相同，只有符合這個(gè)條件它們之間的cookie才能共享。(例如：a.XXX.test.io和b.test.io，這兩個(gè)域名的二級域名就是相同的)

代碼實(shí)現(xiàn)(基于JDK1.8)

    //添加cookie cookieName
    Cookie cookieName = new Cookie("user_name", userName);
    cookieName.setDomain("test.io");        //通過二級域名共享cookie
    cookieName.setPath("/");
    cookieName.setMaxAge(Integer.MAX_VALUE);
    cookieName.setSecure(false);
    response.addCookie(cookieName);

    //添加cookie token
    Cookie token = new Cookie("token", token);
    token.setDomain("test.io");       //通過二級域名共享cookie
    token.setPath("/");
    token.setMaxAge(Integer.MAX_VALUE);
    token.setSecure(false);
    response.addCookie(token);
    
    //關(guān)閉瀏覽器時(shí)刪除cookie
    Cookie token = new Cookie("token", null);
    token.setDomain("test.io");
    token.setPath("/");
    token.setSecure(false);
    token.setMaxAge(0);  //0代表關(guān)閉瀏覽器刪除cookie,負(fù)數(shù)則關(guān)閉瀏覽器cookie失效(沒有刪除)
    response.addCookie(token);

參數(shù)介紹
domain：需要設(shè)置的二級域名(至少是二級域名，可以是三級域名、四級域名...)
path：設(shè)置可以訪問cookie的路徑。假如cookie1的path為/test/，cookie2的path為/test/t/，那么test路徑下的所有頁面都可以訪問到cookie1，而cookie2只有/test/t/下的頁面才能訪問。
maxAge：過期時(shí)間(時(shí)間單位為秒)，設(shè)置為負(fù)數(shù)關(guān)閉瀏覽器該cookie失效，設(shè)置為0表示刪除該cookie，整數(shù)則設(shè)置時(shí)間過后cookie失效
secure：是否加密方式傳輸，默認(rèn)false，為true的話只能使用https協(xié)議(因?yàn)閔ttps協(xié)議是加密協(xié)議，而HTTP不是)。

直接上代碼

@RequestMapping(value = "/test.do")
public void testHandler(HttpServletRequest request, HttpServletResponse response){
    response.setHeader("Access-Control-Allow-Headers", "X-Requested-With, accept, content-type, xxxx");
    response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH");
    response.setHeader("Access-Control-Allow-Credentials", "true"); 
    response.setHeader("Access-Control-Allow-Origin", "http://localhost:8080");
    Cookie cookieName = new Cookie("user_name", "test");
    cookieName.setPath("/");
    cookieName.setMaxAge(Integer.MAX_VALUE);
    response.addCookie(cookieName);
   
}

解釋：
"Access-Control-Allow-Headers"：可選字段，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個(gè)基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers里面指定。
"Access-Control-Allow-Methods"：可選字段，允許請求該接口的方法類型。
"Access-Control-Allow-Credentials"：可選字段。它的值是一個(gè)布爾值，表示是否允許發(fā)送Cookie。默認(rèn)情況下，Cookie不包括在CORS請求之中。設(shè)為true，即表示服務(wù)器明確許可，Cookie可以包含在請求中，一起發(fā)給服務(wù)器。這個(gè)值也只能設(shè)為true，如果服務(wù)器不要瀏覽器發(fā)送Cookie，刪除該字段即可。
"Access-Control-Allow-Origin"：必填字段。它的值要么是請求時(shí)Origin字段的值(如示例中http://localhost:8080)，要么是一個(gè)*，表示接受任意域名的請求。

先看代碼實(shí)現(xiàn)

@CrossOrigin(origins = "http://localhost:8080", maxAge = 3600, methods = {RequestMethod.OPTIONS, RequestMethod.GET, RequestMethod.POST, RequestMethod.PUT, RequestMethod.DELETE})
@RequestMapping(value = "/test.do")
public void testHandler(HttpServletRequest request, HttpServletResponse response){
    
    Cookie cookieName = new Cookie("user_name", "test");
    cookieName.setPath("/");
    cookieName.setMaxAge(Integer.MAX_VALUE);
    response.addCookie(cookieName);
   
}

@CrossOrigin注解是被注解的方法具備接受跨域請求的功能。默認(rèn)情況下，它使方法具備接受所有域，所有請求消息頭的請求。。。。這個(gè)例子中，我們僅接受

http://localhost:8080發(fā)送來的跨域請求。