1、首先是在访问JSP的时候生成一个随机数,放入session中。同时会在服务器缓存一份Token。
2、当form到后台后,调用工具类验证Token。会在TokenList中验证是有该Token值,如果有则验证通过,同时删除List中的Token。
多年前写的东西了,现在基本都是前后端分离使用无状态连接了。同理在下发时生成一个token返回客户端,客户端上报需要带上。
更复杂点防止篡改参数,可以使用md5 + encrpyt。
- 先把参数按正序排列,使用对称AES加密,得到ep
- 同时对参数md5,得到md
- 上报时,ep解密,随后排序再md5,对比md5是否一样。
1.引入工具类
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
|
package com.yiwei.utils;
import java.util.ArrayList;
import javax.servlet.http.HttpSession;
public class Token {
private static final String TOKEN_LIST_NAME = "tokenList";
public static final String TOKEN_STRING_NAME = "token";
private static ArrayList getTokenList(HttpSession session) {
Object obj = session.getAttribute(TOKEN_LIST_NAME);
if (obj != null) {
return (ArrayList) obj;
} else {
ArrayList tokenList = new ArrayList();
session.setAttribute(TOKEN_LIST_NAME, tokenList);
return tokenList;
}
}
private static void saveTokenString(String tokenStr, HttpSession session) {
ArrayList tokenList = getTokenList(session);
tokenList.add(tokenStr);
session.setAttribute(TOKEN_LIST_NAME, tokenList);
}
private static String generateTokenString() {
return new Long(System.currentTimeMillis()).toString();
}
/** */
/**
*
* Generate a token string, and save the string in session, then return the
* token string.
*
*
*
* @param HttpSession
*
* session
*
* @return a token string used for enforcing a single request for a
* particular transaction.
*
*/
public static String getTokenString(HttpSession session) {
String tokenStr = generateTokenString();
saveTokenString(tokenStr, session);
return tokenStr;
}
/** */
/**
*
* check whether token string is valid. if session contains the token
* string, return true.
*
* otherwise, return false.
*
*
*
* @param String
*
* tokenStr
*
* @param HttpSession
*
* session
*
* @return true: session contains tokenStr; false: session is null or
* tokenStr is id not in session
*
*/
public static boolean isTokenStringValid(String tokenStr, HttpSession session) {
boolean valid = false;
if (session != null) {
ArrayList tokenList = getTokenList(session);
if (tokenList.contains(tokenStr)) {
valid = true;
tokenList.remove(tokenStr);
}
}
return valid;
}
}
|
2.在JSP页面导入类包
1
| <%@ page import="com.yiwei.utils.Token" %>
|
3.在JSP页面form表单添加隐藏域
1
| <input type="hidden" name="<%=Token.TOKEN_STRING_NAME %>" value="<%=Token.getTokenString(session) %>">
|
4.后台验证Token
1
2
3
4
| if(!Token.isTokenStringValid(request.getParameter(Token.TOKEN_STRING_NAME), request.getSession())){
responseMessage(response, "非法访问");
return;
}
|