`
锅巴49
  • 浏览: 163540 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

struts2 下分布式web环境Token改造

阅读更多

最近在看struts2源码,发现struts2下的token拦截是基于session的

 

核心类是org.apache.struts2.util.TokenHelper

 

在页面上用标签打入token标记

 

public static String setToken(String tokenName) {
        Map session = ActionContext.getContext().getSession();
        String token = generateGUID();
        try {
            session.put(tokenName, token);
        }
        catch(IllegalStateException e) {
            // WW-1182 explain to user what the problem is
            String msg = "Error creating HttpSession due response is commited to client. You can use the CreateSessionInterceptor or create the HttpSession from your action before the result is rendered to the client: " + e.getMessage();
            LOG.error(msg, e);
            throw new IllegalArgumentException(msg);
        }

        return token;
    }

 

可以看到,是生成一段随机码放入页面,同时也置入session。

 

请求提交时,在org.apache.struts2.interceptor.TokenInterceptor

 

 protected String doIntercept(ActionInvocation invocation) throws Exception {
        if (log.isDebugEnabled()) {
            log.debug("Intercepting invocation to check for valid transaction token.");
        }

        Map session = ActionContext.getContext().getSession();

        synchronized (session) {
            if (!TokenHelper.validToken()) {
                return handleInvalidToken(invocation);
            }

            return handleValidToken(invocation);
        }
    }

 

public static boolean validToken() {
        String tokenName = getTokenName();

        if (tokenName == null) {
            if (LOG.isDebugEnabled())
                LOG.debug("no token name found -> Invalid token ");
            return false;
        }

        String token = getToken(tokenName);

        if (token == null) {
            if (LOG.isDebugEnabled())
                LOG.debug("no token found for token name "+tokenName+" -> Invalid token ");
            return false;
        }

        Map session = ActionContext.getContext().getSession();
        String sessionToken = (String) session.get(tokenName);

        if (!token.equals(sessionToken)) {
            LOG.warn(LocalizedTextUtil.findText(TokenHelper.class, "struts.internal.invalid.token", ActionContext.getContext().getLocale(), "Form token {0} does not match the session token {1}.", new Object[]{
                    token, sessionToken
            }));

            return false;
        }

        // remove the token so it won't be used again
        session.remove(tokenName);

        return true;
    }

 

这样当多台应用不复制session时,就会有问题。

 

 

 我改造了下,把token放入分布式共享缓存中,保持web服务无状态。

 

需要新建

 

1、新建MyTokenHelper

 

/**
 * 
 * token 操作
 *
 * @author 锅巴
 * @version 1.0 2010-7-22
 */
public class MyTokenHelper extends TokenHelper{
    
    //分布式缓存服务
    static ICacheService cacheService = null;
    

    private static ICacheService getCacheService(){
        if(cacheService == null){
            cacheService = (ICacheService)ContentUtil.getBean("cacheService");
        }
        return cacheService;
    }
    
    public static String setToken() {
        String token = generateGUID();
        getCacheService().setValue(token, "1");
        return token;
    }
    
    public static boolean validToken() {
       

        String token = getToken(DEFAULT_TOKEN_NAME);

        if (token == null) {
            
            return false;
        }
        
        if(getCacheService().getValue(token) == null){
            return false;
        }
     
        getCacheService().remove(token);

        return true;
    }
    
    public static void main(String[] args) {
        System.out.println(MyTokenHelper.setToken(""));
    }
}

 

 2、新建MyTokenInterceptor拦截器

/**
 * 
 * token 拦截器
 *
 * @author 锅巴
 * @version 1.0 2010-7-22
 */
public class MyTokenInterceptor extends TokenInterceptor{

    /**
     * 
     */
    private static final long serialVersionUID = 1L;

    @Override
    protected String doIntercept(ActionInvocation invocation) throws Exception {
        if (!MyTokenHelper.validToken()) {
            return handleInvalidToken(invocation);
        }

        return handleValidToken(invocation);
    }
}

 

3、新建MyTokenTag  JSP 标签,用于生成token标记

/**
 * 
 * token tag
 *
 * @author 锅巴
 * @version 1.0 2010-7-22
 */
public class MyTokenTag extends TagSupport {

    
    /**
     * 
     */
    private static final long serialVersionUID = 1L;

    public int doStartTag()throws JspException {   
        JspWriter out=pageContext.getOut();   
        try{   
            out.println("<input type=\"hidden\" name=\"" + MyTokenHelper.DEFAULT_TOKEN_NAME + "\" value=\"" + MyTokenHelper.setToken() + "\"/>");
        }catch(IOException e){   
            throw new JspException(e);   
        }   
        return SKIP_BODY; 
    }   

 

4、新建mytag.tld

<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE taglib PUBLIC "-//Sun Microsystems, Inc.//DTD JSP Tag Library 1.2//EN" "http://java.sun.com/dtd/web-jsptaglibrary_1_2.dtd">
<taglib>   
  	<tlib-version>1.6</tlib-version>
    <jsp-version>1.2</jsp-version>
    <short-name>mytag</short-name>
    <description>mytag</description>
	<uri>/</uri>
	  <tag>   
	    <name>token</name>  
	    <tagclass>com.my.tag.MyTokenTag</tagclass>
	  </tag>   
</taglib>   

 

5、在页面中使用

<%@taglib uri="/WEB-INF/mytag.tld" prefix="mytag"%>  

 

<mytag:token/>

 

   6、在POST action 配置

 <interceptor-ref name="myToken"/>

 

<result name="invalid.token" type="dispatcher">
   /file_up.jsp
</result>

   

   当验证不通过时,会向actionError加入错误提醒,键值是"struts.messages.invalid.token"

   可以在国际化资源文件中设置中文

 

 

2
2
分享到:
评论
4 楼 锅巴49 2011-01-26  
xvm03 写道
有个问题咨询一下,token是基于session保存的,两个页面都使用了token,不会后加载的页面生成的token把先加载的token值给替换掉吗,我看了一些资料tokenname好像是个固定的字符串,struts.token

不会,每次生成的token值都不一样.
3 楼 xvm03 2011-01-25  
锅巴49 写道
xvm03 写道
有个问题咨询一下,token是基于session保存的,两个页面都使用了token,不会后加载的页面生成的token把先加载的token值给替换掉吗,我看了一些资料tokenname好像是个固定的字符串,struts.token

token是在session中的,两个页面的token不会一样


token 是struts2标签设置到到session里的一个随机数值,但是name=struts.token不就会相互替换了吗,每个页面生成的token值是不一样的,但是在保存到session时,如果名称一样不就会被替换了?服务端是怎样区分的呢?这块我觉得名称也是随机的跟request相关,可是源代码里查看到的都是struts.token,很不理解是为什么?
2 楼 锅巴49 2011-01-25  
xvm03 写道
有个问题咨询一下,token是基于session保存的,两个页面都使用了token,不会后加载的页面生成的token把先加载的token值给替换掉吗,我看了一些资料tokenname好像是个固定的字符串,struts.token

token是在session中的,两个页面的token不会一样
1 楼 xvm03 2011-01-24  
有个问题咨询一下,token是基于session保存的,两个页面都使用了token,不会后加载的页面生成的token把先加载的token值给替换掉吗,我看了一些资料tokenname好像是个固定的字符串,struts.token

相关推荐

    struts下的多台web服务器登陆处理

    在多台Web服务器环境下处理登录问题,是分布式系统中的常见挑战,尤其是在高并发、高可用性需求的场景下。本文将探讨Struts如何在多台服务器上实现用户登录状态的一致性,并提供一些相关的工具和技术。 首先,我们...

    hadoop-struts2

    在IT行业中,Hadoop和Struts2是两个重要的技术领域,它们在大数据处理和Web应用开发方面发挥着关键作用。本项目"hadopp-struts2"结合了这两个技术,实现了一个功能,允许用户通过Struts2框架上传文件到Hadoop分布式...

    jwt完整无框架web例子+登录+跨域web demo

    JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,广泛应用于Web应用和API的安全。这个"jwt完整无框架web例子+登录+跨域web demo"是一个基于JWT实现的简单Web应用程序,它包含了登录验证功能,并且支持跨域...

    2018java基础面试题.doc

    2. **SpringCloud**:SpringCloud是一个完整的微服务框架,它提供了诸如服务发现、配置中心、负载均衡、熔断机制、分布式会话、微代理、控制总线、智能路由、一次性token等功能,帮助企业构建分布式系统。...

    非maven的ssm整合shiro

    SSM(Spring、Struts2、MyBatis)框架与Apache Shiro的整合是非Maven项目中常见的安全控制实现方式。Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地与Spring、Struts2...

    shiro学习笔记0.0.0.0

    1. Web 应用:Shiro 可以很好地集成到 SpringMVC 或 Struts2 等 Web 框架中,提供Web 应用的安全管理。 2. 命令行应用:对于没有 UI 的应用,Shiro 也能提供简单的认证和授权功能。 3. 微服务:在微服务架构中,...

    毕业设计java网上银行系统源码下载

    2. **Web开发框架**:通常,Java网上银行系统会采用MVC(Model-View-Controller)架构模式,Spring MVC或Struts2可能是选择的开发框架。这些框架能帮助简化开发过程,提高代码可维护性和可扩展性。 3. **数据库管理...

    libary2015525

    3. Web框架应用:为了提高开发效率和代码复用性,开发者通常会选用Web框架,如Spring MVC或Struts。这些框架提供了模型-视图-控制器(MVC)架构模式,帮助简化Web应用程序的开发。Spring框架还提供了依赖注入(DI)...

    电子购物系统

    电子购物系统是一个基于SSH(Struts2、Spring和Hibernate)架构构建的应用程序,它提供了在线购物的基本功能。SSH是Java Web开发中常见的三层架构模式,主要用于处理用户界面、业务逻辑和数据存储之间的交互。 1. *...

    JavaEE求职简历-姓名-JAVA开发工程师.docx

    【JavaEE求职简历-姓名-JAVA开发工程师....综上所述,这位工程师在JavaEE全栈开发方面有丰富的经验,具备良好项目实施和团队协作能力,尤其在Web应用架构、数据库设计、分布式服务和安全性方面有深入理解和实践经验。

    Java怎样防止重复提交

    在Java Web开发中,防止重复提交是一个重要的议题,尤其是在大型分布式应用中,因为这可能导致服务器资源的过度消耗,甚至引发系统性能问题。以下是一些防止重复提交的常见策略和技术: 1. **令牌(Token)机制**:...

Global site tag (gtag.js) - Google Analytics