Token在struts中使用详解

最新推荐文章于 2020-04-25 15:55:35 发布
最新推荐文章于 2020-04-25 15:55:35 发布
阅读量1k 收藏 1
点赞数
分类专栏: J2EE 文章标签: token struts exception session action string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evil80/article/details/4168178
版权

1、你想发贴时,点击“我要发贴”链接的代码可以里这样的:
〈html:link action="subject.do?method=add"〉我要发贴〈/html:link〉
subject.do 和 method 这些在struct-config.xml如何定义我就不说了,点击链接后,会执行subject.do的add方法,代码如上面说的,跳转到subjectAdd.jsp页面。页面的代码大概如下:
〈html:form action="subjectForm.do?method=insert"〉
  〈html:text property="title" /〉
  〈html:textarea property="content" /〉
  〈html:submit property="发表" /〉
  〈html:reset property="重填" /〉
〈html:form〉
如果你在add方法里加了“saveToken(request);”这一句,那在subjectAdd.jsp生成的页面上,会多一个隐藏字段,类似于这样〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,2、点击发表后,表单提交到subjectForm.do里的insert方法后,你在insert方法里要将表单的数据插入到数据库中,如果没有进行重复提交的控制,那么每点击一次浏览器的刷新按钮,都会在数据库中插入一条相同的记录,增加下面的代码,你就可以控制用户的重复提交了。
if (isTokenValid(request, true)) {
// 表单不是重复提交
//这里是保存数据的代码
} else {
//表单重复提交
saveToken(request);
//其它的处理代码
}
注意,你必须在add方法里使用了saveToken(request),你才能在insert里判断,否则,你每次保存操作都是重复提交。
记住一点,Struts在你每次访问Action的时候,都会产生一个令牌,保存在你的Session里面,如果你在Action里的函数里面,使用了saveToken(request);,那么这个令牌也会保存在这个Action所Forward到的jsp所生成的静态页面里。
如果你在你Action的方法里使用了isTokenValid,那么Struts会将你从你的request里面去获取这个令牌值,然后和Session里的令牌值做比较,如果两者相等,就不是重复提交,如果不相等,就是重复提交了。

由于我们项目的所有Action都是继承自BaseDispatchAction这个类,所以我们基本上都是在这个类里面做了表单重复提交的控制,默认是控制add方法和insert方法,如果需要控制其它的方法,就自己手动写上面这些代码,否则是不需要手写的,控制的代码如下:
public abstract class BaseDispatchAction extends BaseAction {
protected ActionForward perform(ActionMapping mapping, ActionForm form,
    HttpServletRequest request, HttpServletResponse response)
    throws Exception {
        String parameter = mapping.getParameter();
        String name = request.getParameter(parameter);
if (null == name) { //如果没有指定 method ,则默认为 list
            name = "list";
        }

        if ("add".equals(name)) {
            if ("add".equals(name)) {
                saveToken(request);
            }
        } else if ("insert".equals(name)) {
            if (!isTokenValid(request, true)) {
                resetToken(request);
                saveError(request, new ActionMessage("error.repeatSubmit"));
                log.error("重复提交!");
                return mapping.findForward("error");
            }
        }
        return dispatchMethod2(mapping, form, request, response, name);
    }
}

注意:表单必须是struts标签!

原理:
1、在session中放入同步令牌。原理:调用TokenProcessor类的saveToken(HttpServletRequest arg0);源码如下:
在sesssion中放入名称为Globale.TRANSACTION_TOKEN_KEY的同步令牌:token
          public synchronized void saveToken(HttpServletRequest request)...{
            HttpSession session=request.getSession();
            String token=generateToken(request);
            if(token!=null)...{
               session.setAttribute(Globale.TRANSACTION_TOKEN_KEY,token);
            }
         }

2、在打开usermesg.jsp时,应用服务器遇到<html:form>时,便会调用FormTag类的renderToken()方法创建hidden元素。源码如下:
protected String renderToken()...{
               StringBuffer result=new StringBuffer();
               HttpSession session=pageContext.getSession();
               if(session!=null)...{
                  String token=(String)session.getAttribute(Globale.TRANSACTION_TOKEN_KEY);
                  if(token!=null)...{
                    result.append("<input type="hidden" name="");
                    result.append(Constants.TOKEN_KEY);
                    result.append("" value="");
                    result.append(token);
                    if(this.isXhtml)...{
                      result.append("" />");
                    }else...{
                      result.append("" >");
                    }
                  }
               }
               return result.toStriong();
         }
hidden元素Constants.TOKEN_KEY的值就是session中的名称为Globale.TRANSACTION_TOKEN_KEY的同步令牌值
3、验证同步令牌,原理:调用TokenProcessor的isTokenValid(HttpServletRequest arg0,boolean arg1)源码如下:
public synchronized boolean isTokenValid(HttpServletRequest request,boolean reset)...{
            HttpSession session request.getSession(false);
            if(session==null) return false;
            
            String saved=(String)session.getAttribute(Globale.TRANSACTION_TOKEN_KEY);
            
            if(saved==null) return false;
            
            if(reset) this.resetToken(request);

            String token=request.getParameter(Constants.TOKEN_KEY);
            
             if(token==null) return false;
            
             return saved.equals(token);
          }
从叶面取出同步令牌值和session中的进行比较。如果相等则为第一次,不等就是重复提交。前提就是传进来的参数reset必须是true。不然每次都相同。其中resetToken()方法如下:
                public synchronized void resetToken(HttpServletRequest request)...{
                    HttpSession session request.getSession(false);
                    if(session==null)...{
                      return;
                    }
                    session.removeAttribute(Globale.TRANSACTION_TOKEN_KEY);
                }
这就是在isTokenValid方法中boolean参数的作用:清除session中的同步令牌,避免重复提交。如果把true改为false 将不会起到避免重复提交的作用



另外:
建一个action基类TokenAction,使用模板方法,如下:

public ActionForward execute( ActionMapping mapping,
                    ActionForm form,
                    HttpServletRequest request,
                    HttpServletResponse response) throws Exception {
  ActionForward forward = null;
  if (isTokenValid(request, true)) {
    forward = doExecute(mapping, form, request, response);  
  } else {
    saveToken(request);
    throw new TokenRepeatException(MessageLocator.getMessage("error.token"));
  }
  return forward;
}

public abstract ActionForward doExecute( ActionMapping mapping,
                            ActionForm form,
                            HttpServletRequest request,
                            HttpServletResponse response) throws Exception;

注:TokenRepeatException是自定义异常,它的父类ApplicationException在struts-config.xml中被声明,以便于action捕获。如下(我的错误消息资源是用spring来配的,没有用struts的):

<struts-config>

<global-exceptions>
  <exception handler="com.chage.framework.struts.BusinessExceptionHandler" key="todo" type="com.chage.framework.exception.ApplicationException" />
  
</global-exceptions>

.....

</struts-config>

然后,观察这个异常处理类:

public class BusinessExceptionHandler extends ExceptionHandler {

public ActionForward execute(Exception exception,
                    ExceptionConfig config,
                    ActionMapping mapping,
                    ActionForm form,
                    HttpServletRequest request,
                    HttpServletResponse response) throws ServletException {
    request.setAttribute("exception", exception);
    if (exception instanceof TokenRepeatException) {
        return mapping.findForward("tokenRepeat");  
    } else
      //display error info in action come from
      return mapping.getInputForward();
}

}

有几个注意事项,记录备案:
1.关于异常信息哪里显示:   异常显示当然不能在表单页面上了,比如说,你成功更新了一条记录后,返回list的页面,当用户回退重复提交,再返回这个list页并显示提示信息是比较合理的,最好是定义另外一个forward,我统一转向forward名称为 “tokenRepeat“,每个需要控制重复提交的action中必须定义它。最后在jsp页上加上异常显示:

<logic:present name="exception">
<font color=red> <bean:write name="exception" property="message"/></font><br>
</logic:present>


2.你必须通过action来转发而不是直接进入jsp页,因为你得调用saveToken方法来记录令牌字。

evil80
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
struts2的token实现.
08-02
struts2的token实现.
详解struts2的token机制和cookie来防止表单重复提交
01-20
1. **添Token标签**:在需要防止重复提交的JSP页面使用Struts2的`<s:token>`标签。这个标签会在表单提交时生成一个唯一的Token,并将其隐藏地包含在表单数据。 2. **配置Struts2 Action**:在`struts.xml`...
Struts2 使用token标签防止刷新和后退进行重复提交
Magister_Feng的专栏
08-12 6572
Struts2使用token标签和内置的拦截器,来防止刷新提交和后退提交非常简单方便。 1. 在需要防止重复提交的jsp,只需添一个标签 2. 在对应的struts.xml进行配置token拦截器,如下代码,红色部分 http://struts.apache.
关于StrutsToken
奋斗
08-01 101
请求有效性处理,使用令牌可以有效的防止重复提交。 protected String generateToken(HttpServletRequest request) 创建一个令牌. protected boolean isTokenValid(HttpServletRequest request) 检查令牌是否有效 protected boolean isTokenValid(HttpServl...
Struts Token 使用
林踪翼影的专栏
09-05 704
<br />Struts Token 使用<br /> <br />1,先在一个Action,调用saveToken(HttpServletRequest request)方法。然后转向带有表单的JSP页面。<br /> <br />2,在JSP页面提交表单给一个Action,再这个Action进行是否为重复提交的判断。<br /><br />              if (isTokenValid(request, true)) {<br />                     // 未重复
strutstoken使用
thamsyangsw的专栏
02-16 4250
   在struts使用token来防止页面f5刷新和回退后重复点击提交,f5刷新可以达到预期的想法,为什么在回退到以前所有的正确提交页面后都产生了相同的org.apache.struts.taglib.html.TOKEN的value值呢?   下面先把使用strutstoken程序写一下(以添一个用户为例):首先要在第一次进入到添用户页面时要使用toAddUser.do的url
struts2 详解文档
09-26
11. **多配置文件**:可以使用元素在struts.xml包含其他配置文件,以便于模块化管理。 12. **动态方法调用**:允许使用Action名称直接调用Action的方法,无需在配置文件一一列出。 13. **通配符定义Action**:...
struts1 练习
08-14
在`struts-config.xml`配置Resource Bundle,然后在JSP页面使用`<bean:message>`标签来获取对应的语言字符串。 4. **转换器(Converters)**: Struts1提供了一种机制,允许自定义数据类型的转换。通过实现`org....
struts1的相关代码
11-03
struts-config.xml配置`<global-exceptions>`,定义全局异常处理规则,或者在Action的配置使用`<exception>`标签定义特定异常的处理方式。 通过以上知识点的讲解,我们可以看到Struts1作为一个成熟的框架,...
Struts2使用token
Nicholas_GUB的博客
04-25 424
Struts2使用token 表单的重复提交是指用户对同一个请求信息,多此单机提交按钮或者执行刷新操作,导致该请求信息向服务器多次提交,如果应用程序未对表单重复性提交进行处理,则当请求信息需要保存在数据库时会出现重复的记录,或者由于字段的唯一性而导致添数据操作出现异常。我们首先来看以下例子。 1. 观察表单重复提交 新建一个Dept类 import java.io.Serializable...
Struts 使用 Token
shohokuf的专栏
07-23 945
利用Token解决重复重复提交:Struts利用同步令牌(Token)的方式来解决Web应用重复提交的问题,其机制是在form表单一个隐藏的域,保存当前令牌值,然后在程序判断此令牌值是否合法.org.apache.struts.action.Action类提供了相关操作Token的方法:1、isTokenValie方法:判断存储在当前用户会话的令牌值和请求参数的令牌值是否匹配.如果匹
Struts Token 机制
七弦桐
02-25 880
在提交表单的时候,通常有一种情况是新增一条记录。当新增成功的时候,跳到添成功的界面,如果用户点击了浏览器的回退,转到刚才的提交页面,再次点击提交。此时如果没有做处理,就会发生重复提交的问题。如果新插入一条记录不对重复提交进行处理的话,那么就会在数据库重复插入同一记录,这样会在数据库产生冗余的重复记录。
struts2 token 使用方法
hxliong的博客
01-30 160
使用token标签的时候,Struts2会建立一个GUID(全局唯一的字符串)放在session,并且会成为一个hidden放在formtoken拦截器会判断客户端form提交的tokensession保存的session是否equals。如果equals则执行Action。否则拦截器直接返回invaid.token结果,Action对应的方法也不会执行 界面 [...
StrutsToken使用方法
JAVA_HOME
11-25 168
        Token使用方法使用Token可以防止当用户刷新页面和点击后退按钮时造成的页面表单重复提交的问题:使用方法如下:㈠首先要通过一个页面生成一个Token令牌,生成一个随机数可以创建一个页面main.jsp然后在该页面上放置一个按钮或者超连接 ,该超连接指向一个action类在这个action使用      this.saveToken(request);    //生成Tok...
StrutsToken(令牌)机制
Magister_Feng的专栏
02-08 1052
1、Struts 使用Token 机制,来防止恶意的破坏和重复提交问题,也就是点击后退后在再提交,这是Struts 无法发现的,在 form 生成一个token 码,在session 也保存有一个同样的token 码,当表单提交后,判断两个 token码相等后,就会改变session的这个token 码,当然在用回退后,form 的token 码是不会变的,在提交,还会判断两个token
struts token
04-01 503
1,页面脚本实现,当提交过一次表单后,将提交按钮变为不可用,就不会再触发写入数据库的操作. 2,解发写入数据库操作的action之后,调用formbean的resetform方法,将form的数据库清空,当然提交form数据库有一定限制时会起作用,允许向数据库写入null时,就不起作用了. 3,解发写入数据库操作的action之后,不再用forward的方法,转发页面请求,直接采用sendr
struts token使用
is_zhoufeng的专栏
01-10 929
token用来防止表单的重复提交。 需要在action配置token拦截器 ,并且在页面表单入 标签。 struts.xml     /index.jsp   /testToken.jsp   xxx.jsp
[Struts]Token 使用及原理
weixin_30510153的博客
12-17 85
Struts Token使用 1,先在一个Action,调用saveToken(HttpServletRequest request)方法。然后转向带有表单的JSP页面。 2,在JSP页面提交表单给一个Action,再这个Action进行是否为重复提交的判断。 if(isTokenValid(request,tr...
tokenstruts里的使用详解!!!!!!!!!
msdnweixiaomsdn的专栏
08-28 4423
1、你想发贴时,点击“我要发贴”链接的代码可以里这样的:〈html:link action="subject.do?method=add"〉我要发贴〈/html:link〉subject.do 和 method 这些在struct-config.xml如何定义我就不说了,点击链接后,会执行subject.do的add方法,代码如上面说的,跳转到subjectAdd.jsp页面。页面的代码大概如下:
JSP避免Form重复提交的三种方案.docx
01-20
- 在Struts,可以使用`isTokenValid`方法检查令牌的有效性。如果验证通过,才执行后续逻辑,否则跳过或返回错误。这种方式更为安全,因为它依赖于服务器端的令牌管理,而不是前端的单次点击控制。 总结来说,这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值