首先我们先看看token源代码
package org.apache.struts.util;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
public class TokenProcessor
{
private static TokenProcessor instance = new TokenProcessor();
public static TokenProcessor getInstance()
{
return instance;
}
public synchronized boolean isTokenValid(HttpServletRequest request)
{
return isTokenValid(request, false);
}
public synchronized boolean isTokenValid(HttpServletRequest request, boolean reset)
{
HttpSession session = request.getSession(false);
if (session == null) {
return false;
}
String saved = (String)session.getAttribute("org.apache.struts.action.TOKEN");
if (saved == null) {
return false;
}
if (reset) {
resetToken(request);
}
String token = request.getParameter("org.apache.struts.taglib.html.TOKEN");
if (token == null) {
return false;
}
return saved.equals(token);
}
public synchronized void resetToken(HttpServletRequest request)
{
HttpSession session = request.getSession(false);
if (session == null) {
return;
}
session.removeAttribute("org.apache.struts.action.TOKEN");
}
public synchronized void saveToken(HttpServletRequest request)
{
HttpSession session = request.getSession();
String token = generateToken(request);
if (token != null)
session.setAttribute("org.apache.struts.action.TOKEN", token);
}
public String generateToken(HttpServletRequest request)
{
HttpSession session = request.getSession();
try {
byte[] id = session.getId().getBytes();
byte[] now = new Long(System.currentTimeMillis()).toString().getBytes();
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(id);
md.update(now);
return toHex(md.digest());
}
catch (IllegalStateException e) {
return null; } catch (NoSuchAlgorithmException e) {
}
return null;
}
public String toHex(byte[] buffer)
{
StringBuffer sb = new StringBuffer();
String s = null;
for (int i = 0; i < buffer.length; ++i) {
s = Integer.toHexString(buffer[i] & 0xFF);
if (s.length() < 2) {
sb.append('0');
}
sb.append(s);
}
return sb.toString();
}
}
一般使用方法是
1、在进入页面之前先使用saveToekn()方法,该方法会在当前session和返回的页面各生成一个toekn值,生成的页面值如下形式<input type='hidden'name='org.apache.struts.taglib.html.TOKEN' value="XXXXXX">,
2、form submit,此时会把页面token当作一个参数传到后台
3、用isTokenValid(reqiest,true)方法比较session Token 和request 中的Token是否相等,如果是按照上面的流程来,那么肯定是相等的
下面我们分析重复提交的情景:
1、在insert后按F5,这个最好控制,因为F5每次请求的URL是一致的,在后台不管是saveToekn或resetToekn都可以防止这种情况
2、在一个请求正在处理insert时,再次点击insert按钮,如果使用isTokenValid(request,true),意思是验证后就清空session Token,在验证以后如果新的请求过来肯定不会相等,因为当前session Toekn 为null
public class PrepareInsertAction extends Action {
public ActionForward execute(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response) {
saveToken(request);
return mapping.findForward("inserttoken");
}
}
public class InsertAction extends Action {
public ActionForward execute(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
throws Exception {
//Toekn不相等,并清除session Token
if (!isTokenValid(request,true)) {
//如果只能处理从PrepareInsertAction 过来的请求,可以把saveToken去掉
saveToken(request);
return (new ActionForward(mapping.getInput()));
}else{
//做剩余的工作
}
return mapping.findForward("list");
}
}
分享到:
相关推荐
在Struts2中,防止重复提交是一个重要的问题,因为它可能导致数据不一致性和服务器资源的浪费。本文将详细介绍如何在Struts2中解决这个问题,以及相关的技术概念。 首先,我们要理解Struts2中的拦截器(Interceptor...
struts2防止表单重复提交,利用struts的拦截器tokenSession,轻轻松松解决表单重复提交的问题。 附件为源代码,后台延迟了3秒,可直接在web服务器下部署运行,输入用户名和密码后,多点几次提交按钮,然后看控制台...
Struts2框架提供了一种解决方案,即使用Token机制来防止表单的重复提交。以下是对这个主题的详细说明: 1. **表单重复提交问题**:当用户在提交表单时,由于网络延迟或用户误操作,可能会导致同一个表单被多次提交...
在Struts的配置文件(例如`struts.xml`)中,为需要防止重复提交的Action添加一个拦截器栈,包括`token`和`tokenSession`拦截器。 ```xml <!-- 配置错误结果页面 --> <param name="includeParams">none ...
struts2 防止 重复 提交 和 等待 画面
Struts2的Token插件是防止重复提交的一种常见方法。这里的"Strut2Token"很可能是指这个插件的应用。它的工作原理是在用户提交表单时生成一个唯一的令牌,并将其存储在服务器端(例如Session)和客户端(通常是隐藏...
令牌机制是Struts框架用于防止表单重复提交的一种手段。其基本原理是在客户端与服务器之间传递一个随机生成的唯一标识符(即令牌),通过对比客户端提交时携带的令牌与服务器端存储的令牌是否一致来判断请求是否有效...
### Struts2防止重复提交的解决方案 #### 一、引言 在Web应用程序开发中,一个常见的问题是如何有效地防止表单的重复提交。这不仅能够提高用户体验,还能增强系统的安全性。Struts2作为一款广泛使用的Java Web应用...
Struts2是一个流行的Java Web框架,它为开发者...通过上述步骤,Struts2的`s:token`标签可以帮助开发者有效地防止重复提交,保证Web应用程序的数据一致性。理解并正确使用这个功能,可以提升应用的健壮性和用户体验。
Struts2提供了一种基于Token的防止重复提交策略。在表单提交时,服务器会生成一个唯一的Token并将其存储在Session中,同时将Token放入到表单中。当用户提交表单时,服务器会检查提交的Token是否与Session中的Token...
Struts框架是一个经典的Java Web开发框架,用于构建MVC(模型-视图-控制器...在实际开发中,除了Struts的令牌机制,还可以结合前端的解决方案,如禁用提交按钮、使用AJAX异步提交等,来进一步增强防止重复提交的效果。
在Struts2框架中,防止重复提交是一个重要的安全性考量,因为重复提交可能导致数据不一致性和资源浪费。在上述描述中,给出了三种主要方法来解决这个问题: 1) **使用 `<s:token>` 标签** Struts2 提供了一个称为 ...
Struts2是一个流行的Java web框架,它...总的来说,Struts2的令牌机制是通过生成和验证令牌来防止重复提交和CSRF攻击的有效方式。开发者应当理解其工作原理,并在需要的地方正确使用,以提高应用程序的安全性和稳定性。
在 Struts2 框架中,防止重复提交是一个非常重要的安全性问题。重复提交可能会导致数据的不一致和系统的不稳定。为了解决这个问题,Struts2 提供了拦截器机制来防止重复提交。在本文中,我们将详细介绍如何设置拦截...
在本案例中,由于项目组认为Struts2的标签性能不佳,所以选择了自定义拦截器来实现防止重复提交。 首先,我们来看如何创建自定义拦截器。在Struts2中,拦截器是基于AOP(面向切面编程)的概念,可以对Action的调用...
Struts2默认提供了一些拦截器来帮助处理这个问题,但如题目所述,由于性能考虑,项目组决定不使用Struts2的标签,因此需要自定义拦截器来实现防止重复提交的功能。 自定义拦截器的实现主要分为以下几个步骤: 1. *...
总结,Struts2的tokenSession机制是JavaEE Web开发中防止重复提交的有效手段,通过生成并校验token,确保每个请求的唯一性,从而保护了业务数据的完整性。在实际项目中,我们需要正确配置和使用这个机制,以提高应用...
本节主要关注Struts在处理两个关键问题上的高级应用:防止重复提交和文件上传组件的使用。 **一、解决重复提交** 在Web应用程序中,重复提交是一个常见的问题,可能导致数据不一致或服务过载。Struts通过几种策略...