Struts2 的token原理

最新推荐文章于 2017-03-30 22:03:00 发布
最新推荐文章于 2017-03-30 22:03:00 发布
阅读量478 收藏
点赞数

在页面加载时,<s: token />产生一个GUID(Globally Unique Identifier,全局唯一标识符)值的隐藏输入框如:

< input type ="hidden" name ="struts.token.name" value ="struts.token" />
< input type ="hidden" name ="struts.token" value ="BXPNNDG6BB11ZXHPI4E106CZ5K7VNMHR" />
同时,将GUID放到会话(session)中;在执行action之前,“token”拦截器将会话token与请求token比较,如果两者相同,则将会话中的token删除并往下执行,否则向actionErrors加入错误信息。如此一来,如果用户通过某种手段提交了两次相同的请求,两个 token就会不同。
当加载页面的时候会调用<s: token /> 标签相应的tag
Java代码 复制代码  收藏代码
  1. /*    */    
  2. /*    */ public class TokenTag extends AbstractUITag   
  3. /*    */ {   
  4. /*    */   private static final long serialVersionUID = 722480798151703457L;   
  5. /*    */    
  6. /*    */   public Component getBean(ValueStack stack, HttpServletRequest req, HttpServletResponse res)   
  7. /*    */   {   
  8. /* 41 */     return new Token(stack, req, res);   
  9. /*    */   }   
  10. /*    */ }  
/*    */ 
/*    */ public class TokenTag extends AbstractUITag
/*    */ {
/*    */   private static final long serialVersionUID = 722480798151703457L;
/*    */ 
/*    */   public Component getBean(ValueStack stack, HttpServletRequest req, HttpServletResponse res)
/*    */   {
/* 41 */     return new Token(stack, req, res);
/*    */   }
/*    */ }
 然后条用父类相应帮助方法
Java代码 复制代码  收藏代码
  1. public class TokenHelper   
  2. /*     */ {   
  3.                  //默认的token名字可以自己定义   
  4. /*     */    public static final String DEFAULT_TOKEN_NAME = "struts.token";   
  5. /*     */    public static final String TOKEN_NAME_FIELD = "struts.token.name";   
  6. /*  48 */   private static final Logger LOG = LoggerFactory.getLogger(TokenHelper.class);   
  7. /*  49 */   private static final Random RANDOM = new Random();   
  8. /*     */    
  9. /*     */   public static String setToken()   
  10. /*     */   {   
  11. /*  58 */     return setToken("struts.token");   
  12. /*     */   }   
  13. /*     */   //当页面初始化的时候调用setToken/*     */      
  14.           public static String setToken(String tokenName)   
  15. /*     */   {   
  16. /*  68 */     Map session = ActionContext.getContext().getSession();   
  17. /*  69 */     String token = generateGUID();   
  18. /*     */     try {   
  19.                     //放入session中,键为struts.token:值token为一个随机数值   
  20. /*  71 */       session.put(tokenName, token);   
  21. /*     */     }   
  22. /*     */     catch (IllegalStateException e)   
  23. /*     */     {   
  24. /*  75 */       String msg = "Error creating HttpSession due response is commited to client. You can use the CreateSessionInterceptor or create the HttpSession from your action before the result is rendered to the client: " + e.getMessage();   
  25. /*  76 */       LOG.error(msg, e, new String[0]);   
  26. /*  77 */       throw new IllegalArgumentException(msg);   
  27. /*     */     }   
  28. /*     */    
  29. /*  80 */     return token;   
  30. /*     */   }   
  31. /*     */   //所得token的值   
  32. /*     */   public static String getToken()   
  33. /*     */   {   
  34. /*  90 */     return getToken("struts.token");   
  35. /*     */   }   
  36. /*     */    
  37. /*     */   public static String getToken(String tokenName)   
  38. /*     */   {   
  39. /* 100 */     if (tokenName == null) {   
  40. /* 101 */       return null;   
  41. /*     */     }   
  42. /* 103 */     Map params = ActionContext.getContext().getParameters();   
  43. /* 104 */     String[] tokens = (String[])(String[])params.get(tokenName);   
  44. /*     */    
  45. /* 107 */     if ((tokens == null) || (tokens.length < 1)) {   
  46. /* 108 */       LOG.warn("Could not find token mapped to token name " + tokenName, new String[0]);   
  47. /*     */    
  48. /* 110 */       return null;   
  49. /*     */     }   
  50. /*     */    
  51. /* 113 */     String token = tokens[0];   
  52. /*     */    
  53. /* 115 */     return token;   
  54. /*     */   }   
  55. /*     */    //所得struts.token.name 隐藏表达欲的值 token.name   
  56. /*     */   public static String getTokenName()   
  57. /*     */   {   
  58. /* 124 */     Map params = ActionContext.getContext().getParameters();   
  59. /*     */    
  60. /* 126 */     if (!params.containsKey("struts.token.name")) {   
  61. /* 127 */       LOG.warn("Could not find token name in params."new String[0]);   
  62. /*     */    
  63. /* 129 */       return null;   
  64. /*     */     }   
  65. /*     */    
  66. /* 132 */     String[] tokenNames = (String[])(String[])params.get("struts.token.name");   
  67. /*     */    
  68. /* 135 */     if ((tokenNames == null) || (tokenNames.length < 1)) {   
  69. /* 136 */       LOG.warn("Got a null or empty token name."new String[0]);   
  70. /*     */    
  71. /* 138 */       return null;   
  72. /*     */     }   
  73. /*     */    
  74. /* 141 */     String tokenName = tokenNames[0];   
  75. /*     */    
  76. /* 143 */     return tokenName;   
  77. /*     */   }   
  78. /*     */    //验证token是否重复提交   
  79. /*     */   public static boolean validToken()   
  80. /*     */   {   
  81. /* 153 */     String tokenName = getTokenName();   
  82. /*     */    
  83. /* 155 */     if (tokenName == null) {   
  84. /* 156 */       if (LOG.isDebugEnabled())   
  85. /* 157 */         LOG.debug("no token name found -> Invalid token "new String[0]);   
  86. /* 158 */       return false;   
  87. /*     */     }   
  88. /*     */         //通过tokenName获得页面初始化token的值   
  89. /* 161 */     String token = getToken(tokenName);   
  90. /*     */    
  91. /* 163 */     if (token == null) {   
  92. /* 164 */       if (LOG.isDebugEnabled())   
  93. /* 165 */         LOG.debug("no token found for token name " + tokenName + " -> Invalid token "new String[0]);   
  94. /* 166 */       return false;   
  95. /*     */     }   
  96. /*     */       //获取session中的token...   
  97. /* 169 */     Map session = ActionContext.getContext().getSession();   
  98. /* 170 */     String sessionToken = (String)session.get(tokenName);   
  99. /*     */       //判断session中的token值和页面上的token值是否相等   
  100. /* 172 */     if (!token.equals(sessionToken)) {   
  101. /* 173 */       LOG.warn(LocalizedTextUtil.findText(TokenHelper.class"struts.internal.invalid.token", ActionContext.getContext().getLocale(), "Form token {0} does not match the session token {1}."new Object[] { token, sessionToken }), new String[0]);   
  102. /*     */    
  103. /* 177 */       return false;   
  104. /*     */     }   
  105. /*     */    
  106. /* 181 */     session.remove(tokenName);   
  107. /*     */    
  108. /* 183 */     return true;   
  109. /*     */   }   
  110. /*     */   //产生随机数   
  111. /*     */   public static String generateGUID() {   
  112. /* 187 */     return new BigInteger(165, RANDOM).toString(36).toUpperCase();   
  113. /*     */   }   
  114. /*     */ }  
public class TokenHelper
/*     */ {
                 //默认的token名字可以自己定义
/*     */    public static final String DEFAULT_TOKEN_NAME = "struts.token";
/*     */    public static final String TOKEN_NAME_FIELD = "struts.token.name";
/*  48 */   private static final Logger LOG = LoggerFactory.getLogger(TokenHelper.class);
/*  49 */   private static final Random RANDOM = new Random();
/*     */ 
/*     */   public static String setToken()
/*     */   {
/*  58 */     return setToken("struts.token");
/*     */   }
/*     */   //当页面初始化的时候调用setToken/*     */   
          public static String setToken(String tokenName)
/*     */   {
/*  68 */     Map session = ActionContext.getContext().getSession();
/*  69 */     String token = generateGUID();
/*     */     try {
                    //放入session中,键为struts.token:值token为一个随机数值
/*  71 */       session.put(tokenName, token);
/*     */     }
/*     */     catch (IllegalStateException e)
/*     */     {
/*  75 */       String msg = "Error creating HttpSession due response is commited to client. You can use the CreateSessionInterceptor or create the HttpSession from your action before the result is rendered to the client: " + e.getMessage();
/*  76 */       LOG.error(msg, e, new String[0]);
/*  77 */       throw new IllegalArgumentException(msg);
/*     */     }
/*     */ 
/*  80 */     return token;
/*     */   }
/*     */   //所得token的值
/*     */   public static String getToken()
/*     */   {
/*  90 */     return getToken("struts.token");
/*     */   }
/*     */ 
/*     */   public static String getToken(String tokenName)
/*     */   {
/* 100 */     if (tokenName == null) {
/* 101 */       return null;
/*     */     }
/* 103 */     Map params = ActionContext.getContext().getParameters();
/* 104 */     String[] tokens = (String[])(String[])params.get(tokenName);
/*     */ 
/* 107 */     if ((tokens == null) || (tokens.length < 1)) {
/* 108 */       LOG.warn("Could not find token mapped to token name " + tokenName, new String[0]);
/*     */ 
/* 110 */       return null;
/*     */     }
/*     */ 
/* 113 */     String token = tokens[0];
/*     */ 
/* 115 */     return token;
/*     */   }
/*     */    //所得struts.token.name 隐藏表达欲的值 token.name
/*     */   public static String getTokenName()
/*     */   {
/* 124 */     Map params = ActionContext.getContext().getParameters();
/*     */ 
/* 126 */     if (!params.containsKey("struts.token.name")) {
/* 127 */       LOG.warn("Could not find token name in params.", new String[0]);
/*     */ 
/* 129 */       return null;
/*     */     }
/*     */ 
/* 132 */     String[] tokenNames = (String[])(String[])params.get("struts.token.name");
/*     */ 
/* 135 */     if ((tokenNames == null) || (tokenNames.length < 1)) {
/* 136 */       LOG.warn("Got a null or empty token name.", new String[0]);
/*     */ 
/* 138 */       return null;
/*     */     }
/*     */ 
/* 141 */     String tokenName = tokenNames[0];
/*     */ 
/* 143 */     return tokenName;
/*     */   }
/*     */    //验证token是否重复提交
/*     */   public static boolean validToken()
/*     */   {
/* 153 */     String tokenName = getTokenName();
/*     */ 
/* 155 */     if (tokenName == null) {
/* 156 */       if (LOG.isDebugEnabled())
/* 157 */         LOG.debug("no token name found -> Invalid token ", new String[0]);
/* 158 */       return false;
/*     */     }
/*     */         //通过tokenName获得页面初始化token的值
/* 161 */     String token = getToken(tokenName);
/*     */ 
/* 163 */     if (token == null) {
/* 164 */       if (LOG.isDebugEnabled())
/* 165 */         LOG.debug("no token found for token name " + tokenName + " -> Invalid token ", new String[0]);
/* 166 */       return false;
/*     */     }
/*     */       //获取session中的token...
/* 169 */     Map session = ActionContext.getContext().getSession();
/* 170 */     String sessionToken = (String)session.get(tokenName);
/*     */       //判断session中的token值和页面上的token值是否相等
/* 172 */     if (!token.equals(sessionToken)) {
/* 173 */       LOG.warn(LocalizedTextUtil.findText(TokenHelper.class, "struts.internal.invalid.token", ActionContext.getContext().getLocale(), "Form token {0} does not match the session token {1}.", new Object[] { token, sessionToken }), new String[0]);
/*     */ 
/* 177 */       return false;
/*     */     }
/*     */ 
/* 181 */     session.remove(tokenName);
/*     */ 
/* 183 */     return true;
/*     */   }
/*     */   //产生随机数
/*     */   public static String generateGUID() {
/* 187 */     return new BigInteger(165, RANDOM).toString(36).toUpperCase();
/*     */   }
/*     */ }
 
    当一个表单提交的时候。。。经过token拦截器。就相当于filter.Spring Aop 一样的类,具体配置如下
Java代码 复制代码  收藏代码
  1. <action name="token" class="com.bhr.ssh.json.action.TokenAction">   
  2.             <interceptor-ref name="defaultStack" />   
  3.             <interceptor-ref name="token" />   
  4.             <result name="invalid.token">/token.jsp</result>                           
  5.             <result>/token.jsp</result>   
  6.         </action>  
<action name="token" class="com.bhr.ssh.json.action.TokenAction">
            <interceptor-ref name="defaultStack" />
            <interceptor-ref name="token" />
            <result name="invalid.token">/token.jsp</result>                        
            <result>/token.jsp</result>
        </action>
   然后在拦截器里面 获得页面上这个标签的value ; String tokenName =  getToken();
< input type ="hidden" name ="struts.token" value ="BXPNNDG6BB11ZXHPI4E106CZ5K7VNMHR" />
 然后在session里面找看是否有这个保存值,看是否session.getAttribute(tokenName);validToken();验证
一般来说第一次提交如果找到了,就把session.removeAttribute(tokenName);删除了。所以当重复提交的时候,tokenName 已经在session里面被清除了。没有保存在session里面,所以就。。。。。。。。。。。
总结:
通过Session Token :当客户端请求页面时,服务器会通过token标签生成一个随机数,并且将该随机数放到sesiion里面,然后将该随机数放到客户端,就是隐藏表单域,如果客户第一次提交,那么会将该随机数往服务器。被拦截。服务器接受到该随机数并且与session中的被保存的随机数进行对比这两者相同服务器认为是第一次提交。
CNM3333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
struts2token实现.
08-02
在Web表单提交中,防止重复提交是一个常见的需求,而Struts2Token机制就是为了应对这一问题而设计的。Token机制能确保用户只能提交一次表单,避免了由于网络延迟或误操作导致的重复数据录入。 ### 一、Token机制...
struts2开发 token.rar
03-23
Struts2是一个非常著名的Java Web框架,用于构建企业级应用。这个名为"struts2开发 token.rar"的压缩包文件可能包含了一个关于...通过研究和实践,开发者能够更好地理解Struts2的架构和工作原理,提升自己的开发技能。
利用struts2<s:token>标签防止用户重复提交
weixin_33739646的博客
03-30 94
当用户填写完表单后,在提交过一次后,若用户做如下操作比如再次点击提交、刷新页面、提交页面呈现后点击后退按钮,都会导致表单重复提交。如果信息需要存储到后台数据库中,重复提交就会再次向数据库中插入用户信息,显然这样是不对的。解决方式有两种 (一)Session Token机制    当用户首次访问包含表单的页面时,此时服务器会做三件事 1)创建一个session对象, 2)通过解析&lt;s:toke...
Struts Token 使用
林踪翼影的专栏
09-05 705
<br />Struts Token 使用<br /> <br />1,先在一个Action中,调用saveToken(HttpServletRequest request)方法。然后转向带有表单的JSP页面。<br /> <br />2,在JSP页面提交表单给一个Action,再这个Action中进行是否为重复提交的判断。<br /><br />              if (isTokenValid(request, true)) {<br />                     // 未重复
strutstoken使用
thamsyangsw的专栏
02-16 4250
   在struts中使用token来防止页面f5刷新和回退后重复点击提交,f5刷新可以达到预期的想法,为什么在回退到以前所有的正确提交页面后都产生了相同的org.apache.struts.taglib.html.TOKEN的value值呢?   下面先把使用strutstoken程序写一下(以添加一个用户为例):首先要在第一次进入到添加用户页面时要使用toAddUser.do的url
struts2中的s标签解析
ye1992的专栏
12-19 2万+
那就从简单的标签说起吧!1.x中常用的标签只有4中html、bean、logic、tiles 而struts2.0里的标签却没有分类,只用在jsp头文件加上      就能使用struts2.0的标签库    下面就介绍每个标签的具体应用实例说明:按字母排列 A:    1.    2. -----超链接,类似于html里的    3. -----执
struts2token限制表单多次提交
09-06
下面将详细阐述Struts2Token机制的工作原理、配置以及使用方法。 1. Token机制概述: Token机制是通过在客户端(浏览器)和服务器之间传递一个唯一的标识符(Token)来防止表单的重复提交。当用户首次提交表单时...
struts2 令牌使用例子
05-21
1. **配置Struts2拦截器**:在struts.xml配置文件中,需要添加`token`和`tokenSession`拦截器到默认栈或自定义的拦截器栈中。`token`拦截器负责在表单中插入令牌,而`tokenSession`拦截器则负责验证令牌。 ```xml ...
Struts2源码分析
09-13
在深入理解Struts2的工作原理时,源码分析是必不可少的步骤。Struts2的核心设计理念和设计模式相比Struts1.x有了显著的变化,这使得它成为一个独立且成熟的框架。 首先,Struts2的架构基于WebWork的核心,这意味着...
tokenstruts里的使用详解!!!!!!!!!
msdnweixiaomsdn的专栏
08-28 4425
1、你想发贴时,点击“我要发贴”链接的代码可以里这样的:〈html:link action="subject.do?method=add"〉我要发贴〈/html:link〉subject.do 和 method 这些在struct-config.xml如何定义我就不说了,点击链接后,会执行subject.do的add方法,代码如上面说的,跳转到subjectAdd.jsp页面。页面的代码大概如下:
Struts 中的 Token 机制
七弦桐
02-25 880
在提交表单的时候,通常有一种情况是新增加一条记录。当新增成功的时候,跳到添加成功的界面,如果用户点击了浏览器的回退,转到刚才的提交页面,再次点击提交。此时如果没有做处理,就会发生重复提交的问题。如果新插入一条记录不对重复提交进行处理的话,那么就会在数据库中重复插入同一记录,这样会在数据库产生冗余的重复记录。
Struts2 Token标签用法
02-05 9310
 1、使用Struts2的表单标签,其中需要增加token标签。如下:…………   2、在struts配置文件中增加token拦截器。(tokentoken-session 拦截器的启用,是在 struts.xml 配置文件中,既可以为包启用,也可以单独为某个 action 启用) 2.1  为 Action 启用 token "-//Apache Software Founda
如何防止重复提交
yjsuge的专栏
08-04 5838
防止表单重复提交的两种方式 1) 通过重定向 2) 通过Session Token(Session令牌):当客户端请求页面时,服务器会通过token标签生成一个随机数,并且将该随机数放置到session当中,然后将该随机数发向客户端;如果客户第一次提交,那么会将该随机数发往服
springmvc下的基于token的防重复提交
06-03 312
问题描述: 现在的网站在注册步骤中,由于后台要处理大量信息,造成响应变慢(测试机器性能差也是造成变慢的一个因素),在前端页面提交信息之前,等待后端响应,此时如果用户 再点一次提交按钮,后台会保存多份用户信息。为解决此问题,借鉴了struts2token思路,在springmvc下实现token。 实现思路: 在springmvc配置文件中加入拦截器的配置,拦截两类请求,一类是到页面的,一
Cannot create a session after the response has been committed
上班搞IT,下班搞ITF。
05-03 5307
页面刷新出现异常信息: 2012-05-03 13:15:45,791 ERROR [TokenHelper.java:76] : Error creating HttpSession due response is commited to client. You can use the CreateSessionInterceptor or create the HttpSession fro
springmvc中如何防止表达重复提交
热门推荐
无意摘花
08-28 6万+
问题描述: 现在的
简述session和token原理
最新发布
04-19
Session是Web应用程序中的一种机制,用于跟踪Web应用程序中的用户会话。当用户首次访问应用程序时,服务器会创建一个唯一标识符(通常称为SessionID)并将其发送到用户的浏览器,保存在cookie或URL中。当用户继续浏览网站时,他们的浏览器将在每个页面的请求中发送SessionID,服务器通过查询内存或数据库中存储的Session信息来维护用户的状态和活动。 Token是一种类似于Session的机制,它用于验证和授权用户的访问。在身份验证后,服务器会将Token发送回客户端,并将其存储在客户端的cookie或本地存储中。随后,当客户端发起请求时,它将在请求头部中使用Token进行身份验证,服务器验证该Token的有效性,并根据Token中包含的信息授权用户的访问。Token机制通常用于API调用和单页应用程序中,因为它可以节省服务器的资源,并减少每个请求中的数据量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值