验证码通常在输入页面,主要是为了防止无聊人士通过循环提交攻击服务器
验证码的工作机制如下
step1)必须有个生成验证码的冬冬
1.1)验证码的显示
<img src="http://my.${constant.mainDomain}/images/ validate.do" width="130" height="20">
1.2)验证码的产生
validate.do通常是个servlet,核心实现如下
public void service(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", 0);
HttpSession session = request.getSession();
//产生随机验证码
String validationcode = RandomCodeFactory.generate(4);
// 放入session
session.setAttribute("validationcode",validationcode);
//输出流生成图片
byte[] bytes = ImageGenerator.generateJPEGValidateCode(validationcode,100,20);
response.setContentType("images/jpg");
OutputStream output = response.getOutputStream();
output.write(bytes);
output.flush();
}
step2)action的实现
//片断1 检查验证码,错误则返回到错误页面通常还是本页
ActionContext context = ActionContext.getContext();
String sessionvalidationcode = (String) context.getSession().get(
"validationcode");
if ((validationcode == null)
|| (!validationcode.equals(sessionvalidationcode))) {
return "validate";
}
//。。。。。调用业务逻辑
//片断2 清除session,否则后有漏洞
context.getSession().remove("validationcode");
return Action.SUCCESS;
注意:
1)上面的代码在webwork中实现,webwork相关的代码你无需理会,理解过程完全可以用任何方式实现
2)上面的代码一看就有味道,仅仅为了演示而已。片断1和片断2完全可以放在一个拦截器中实现,这样可以将验证与action本身的冬冬解耦。
验证码的工作机制如下
step1)必须有个生成验证码的冬冬
1.1)验证码的显示
<img src="http://my.${constant.mainDomain}/images/ validate.do" width="130" height="20">
1.2)验证码的产生
validate.do通常是个servlet,核心实现如下
public void service(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", 0);
HttpSession session = request.getSession();
//产生随机验证码
String validationcode = RandomCodeFactory.generate(4);
// 放入session
session.setAttribute("validationcode",validationcode);
//输出流生成图片
byte[] bytes = ImageGenerator.generateJPEGValidateCode(validationcode,100,20);
response.setContentType("images/jpg");
OutputStream output = response.getOutputStream();
output.write(bytes);
output.flush();
}
step2)action的实现
//片断1 检查验证码,错误则返回到错误页面通常还是本页
ActionContext context = ActionContext.getContext();
String sessionvalidationcode = (String) context.getSession().get(
"validationcode");
if ((validationcode == null)
|| (!validationcode.equals(sessionvalidationcode))) {
return "validate";
}
//。。。。。调用业务逻辑
//片断2 清除session,否则后有漏洞
context.getSession().remove("validationcode");
return Action.SUCCESS;
注意:
1)上面的代码在webwork中实现,webwork相关的代码你无需理会,理解过程完全可以用任何方式实现
2)上面的代码一看就有味道,仅仅为了演示而已。片断1和片断2完全可以放在一个拦截器中实现,这样可以将验证与action本身的冬冬解耦。