struts中的令牌 token

y540968398

浏览: 106696 次
性别:
来自: 西安

最近访客更多访客>>

jjdo

dongguangming88

david_way

gaoyifeng1987

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

JavaEE

Token 令牌
    org.apache.struts.util.TokenProcessor 令牌处理器
    在 action 中使用令牌环
    为了避免用户通过浏览器的后退功能．出现重复提交的可能．struts可以用token来解决重复提交的问题

令牌处理：
    当点击 submit 提交表单时，给 request 生成一个令牌(由框架生成或自己写)，到 action 调用 saveToken
    给 session 生成一个令牌。由于是同一时间生成的，所以两个令牌是相同的。

    当刷新/回退/直接访问action 这样的方式访问action，并没有走submit，
    request 没有记录时间，或者时间是旧的，这个令牌没有或者是旧的。
    当到action中时，使用 saveToken 给 session 生成一个令牌。

    这时比较两个令牌是不同的。也就是 request 和 session 中记录的时间是不同的。

    每次 submit 提交时，客户端和服务器端的 token 是新的，一致的。
    当刷新页面是，只有服务器端的 token 是新的，所以两者不一致。

    如果你在 action 中方法里加了“saveToken(request);”这一句，那在 action 对应的页面上，
    会多一个隐藏字段，类似于这样
    〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉
    当然这个值是动态生成的，每次submit request 和 session 的 token 是一致的。

action 配置：
    <action name="personForm" type="com.action.addPersonAction" validate="false" 
    input="/person/addPerson.jsp" scope="request" path="/addPerson" />

action 的 execute 方法要这样写：    
    ActionForward forward = mapping.getInputForward();
    
    saveToken(request); // 加上这句，跳转到 inputForward 页面时就会生成 request 令牌 的 隐藏参数
    if (request.getParameter("flag_todo") == "add")
    {
        if(isTokenValid(request, true))
        {
            // ...
            service.savePerson();
        }
        else
        {
            // 重复访问 action 
        }
        return mapping.findForward("anotherAction");
    }
    
    return forward;

org.apache.struts.action.Action 中关于令牌的方法
    saveToken(request)              生成令牌并保存到 session 作用域中
    generateToken(request)          生成令牌
    isTokenValid(request, reset);
        取出 session 中的令牌与 request 当中的令牌比较，如果相同则说明在同一session中第二次访问action。
    isTokenValid(request);          调用 token.isTokenValid(request, false);
    resetToken(request)

生成令牌：
    session的标识符+当前时间戳生成的 md5 码的十六进制字符串
    调用action的 saveToken

public synchronized String generateToken(HttpServletRequest request)
    {
        HttpSession session = request.getSession();    
        try {
            byte[] id = session.getId().getBytes();    // session 的标识符字符串
            long current = System.currentTimeMillis();
            if (current == this.previous) {
            current += 1L;
            }
            this.previous = current;
            byte[] now = new Long(current).toString().getBytes();     // 当前时间戳 字符串
            MessageDigest md = MessageDigest.getInstance("MD5");      // md5 算法
            md.update(id);
            md.update(now);
            return toHex(md.digest());
        }
        catch (NoSuchAlgorithmException e)
        {
        }
        return null;
    }

分享到：

JNDI简介 | jboss对jmx的支持

2013-04-16 18:16
浏览 1549
评论(0)
分类:Web前端
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论