这时其实也就是两点,第一:你需要在请求中有这个令牌值,请求中的令牌值可以通过隐藏字段来保存,保存的形式如: 〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,这个value是TokenProcessor类中的 generateToken()获得的,是根据当前用户的session id和当前时间的long值来计算的。第二:在客户端提交后,我们要根据判断在请求中包含的值是否和服务器的令牌一致,因为服务器每次提交都会生成新的 Token,所以,如果是重复提交,客户端的Token值和服务器端的Token值就会不一致。
自己实现服务端防止页面重复提交
response.setCharacterEncoding("utf-8");response.setContentType("utf-8");
String token = System.currentTimeMillis()+new Random().nextInt()+"";//生成随机数
try {
MessageDigest md = MessageDigest.getInstance("md5");//随机数的字段摘要
byte b [] = md.digest(token.getBytes());
BASE64Encoder encoder = new BASE64Encoder();//base64编码(大小写字母各26个,加上10个数字,和加号“+”,斜杠“/”)
token = encoder.encode(b);
request.getSession().setAttribute("token",String.valueOf(token));
System.out.println(b.length+" "+token+" "+token.length());
this.getServletContext().getRequestDispatcher("/index.jsp").forward(request, response);
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
<form action="/token/servlet/LoginServlet" method="post">
<input type="hidden" value="${token}" name="token">
<input type="submit" value="submit">
</form>
String token = (String) request.getSession().getAttribute("token");
String client = request.getParameter("token");
if(token!=null&&token.equals(client)){
//.......
request.getSession().removeAttribute("token");
}
MessageDigest 类为应用程序提供信息摘要算法的功能,如 MD5 或 SHA 算法。信息摘要是安全的单向哈希函数,它接收任意大小的数据,并输出固定长度的哈希值。
MessageDigest 对象开始被初始化。该对象通过使用 update()方法处理数据。任何时候都可以调用 reset()方法重置摘要。一旦所有需要更新的数据都已经被更新了,应该调用digest() 方法之一完成哈希计算。
对于给定数量的更新数据,digest 方法只能被调用一次。在调用 digest 之后,MessageDigest 对象被重新设置成其初始状态。
1、public static MessageDigest getInstance(String algorithm)throws NoSuchAlgorithmException
返回实现指定摘要算法的 MessageDigest 对象。
algorithm - 所请求算法的名称
2、public static MessageDigest getInstance(String algorithm,String provider)
throws NoSuchAlgorithmException, NoSuchProviderException
返回实现指定摘要算法的 MessageDigest 对象。
algorithm - 所请求算法的名称
provider - 提供者的名称。
3、public void update(byte[] input)使用指定的 byte 数组更新摘要。
4、public byte[] digest()通过执行诸如填充之类的最终操作完成哈希计算。在调用此方法之后,摘要被重置。
5、public static boolean isEqual(byte[] digesta,byte[] digestb)比较两个摘要的相等性。做简单的字节比较。
注意:Provider可以通过 java.security.Security.getProviders() 方法获取已注册提供者列表。比较常用的有“SUN”
SUN提供的常用的算法名称有:MD2 MD5 SHA-1 SHA-256 SHA-384 SHA-512