使用session以及在session中加入token

最新推荐文章于 2023-07-01 11:43:39 发布
最新推荐文章于 2023-07-01 11:43:39 发布
阅读量3w 收藏 18
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nlcexiyue/article/details/106667810
版权

通过使用session以及在session中加入token,来验证同一个操作人员是否进行了并发重复的请求,在后一个请求到来时,使用session中的token验证请求中的token是否一致,当不一致时,被认为是重复提交,将不准许通过。

整个流程可以由如下流程来表述:

客户端申请token
服务器端生成token,并存放在session中,同时将token发送到客户端
客户端存储token,在请求提交时,同时发送token信息
服务器端统一拦截用户的所有请求,验证当前请求是否需要被验证(不是所有请求都验证重复提交)
验证session中token是否和用户请求中的token一致,如果一致则放行
session清除会话中的token,为下一次的token生成作准备
并发重复请求到来,验证token和请求token不一致,请求被拒绝

请求之前申请token,然后在真正请求时将token发送给服务端进行判断。例如,在加载这个页面时请求申请token,点击抢的按钮时,将token以参数的形式传给服务器端,进行判断。多次点击按钮后–并发请求,那么服务器端会拦截所有请求,进行token对比,由于第一次的请求通过后,session便清除了会话中的token,故再次对比即不同,便被拦截在外了。

由以上的流程,我们整个实现需要以下几个东西

token生成器,负责生成token
客户token请求处理action,负责处理客户请求,并返回token信息
token拦截器,用于拦截指定的请求是否需要验证token
token请求拦截标识,用于标识哪些请求是需要被拦截的
客户端token请求处理方法,用于请求token,并存放于特定操作中,并在提交时发送到请求中

token生成器
token生成器在这里使用了一个随机数来实现,即随机生成一个数字,即实现token生成,如下所示:

private static final Random random = new Random(System.currentTimeMillis());
public static final String TOKENPARAM = "session-token";
 
/** 生成一个token */
public static synchronized String generateToken(HttpSession session) {
    String s = String.valueOf(random.nextLong());
    session.setAttribute(TOKENPARAM, s);
    return s;
}

token请求处理action
请求处理action,即接收相应的请求,然后直接返回相对应的token即可,如下即为一个为ajax请求生成token的处理action:

public String generateTokenAjax() {
    String token = SessionTokenGenerator.generateToken(ServletActionContext.getRequest().getSession());
    AjaxSupport.sendSuccessText(token);
    return NONE;
}

token请求拦截标识

拦截标识,即表示哪些方法需要被拦截,这里可以使用注解来实现,即在要拦截的方法上追加类似@TokenNeed的注解,或者使用配置文件,将需要拦截的方法列表记录在配置文件中,在本文中,使用了一个配置文件来记录

token拦截器

token拦截器实现了我们所需要的拦截处理,在当碰到需要拦截的方法请求中,将同步进行token的判断和处理,并根据处理结果判断是否该继续放行或拦截之:

public String intercept(ActionInvocation invocation) throws  Exception {
    String action = invocation.getProxy().getAction().getClass().getName();
    String method = invocation.getProxy().getMethod();
    final HttpSession session = ServletActionContext.getRequest().getSession();
    if(includeMethodSet.contains(action + "." + method)) {
        synchronized(session) {
            String paramSessionToken = ServletActionContext.getRequest().getParameter(SessionTokenGenerator.TOKENPARAM);
            String sessionSessionToken = (String) session.getAttribute(SessionTokenGenerator.TOKENPARAM);
            if(sessionSessionToken == null || paramSessionToken == null || !paramSessionToken.equals(sessionSessionToken))
                return fail();
            session.removeAttribute(SessionTokenGenerator.TOKENPARAM);
        }
    }
    return invocation.invoke();
}
某科学的南条
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Session存放token/获取token,销毁session
周不老的博客
06-18 5319
Session存放token/获取token,销毁session 这里记录下session使用.方便学习 session使用的是: javax.servlet.http.HttpSession 话不多说了.直接上代码! java代码 request.getSession().setAttribute(“token”, token); 这里是放了个token,也可以直接放user对象.直接获取到user controller类: import com.email.demo.bean.User; import
Cookie、SessionToken三者的区别及使用
11-13
测试的过程,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
sessiontoken
weixin_46171501的博客
03-16 126
session 服务端保存用户信息 安全性一般 存在多服务器粘性问题 token 避免CSRF攻击 安全性高 多服务器粘性问题 当在应用进行 session的读,写或者删除操作时,会有一个文件操作发生在操作系统的temp 文件夹下,至少在第一次时。假设有多台服务器并且 session 在第一台服务上创建。当你再次发送请求并且这个请求落在另一台服务器上,session 信息并不存在并且会获得一个“...
cookie和sessiontoken,为什么选择使用token?JWT使用
A-Itfuture的博客
09-22 1861
每一次请求都需要token。客户端在第一次访问服务器的时候,服务端会响应一个sessionId,并且将它存入到客户端本地的cookie,在之后的访问会将cookiesessionId放入到请求头去访问服务器,如果服务器通过这个sessionId没有找到对应的数据,那么服务器会创建一个新的sessionId并且响应给客户端。如果计算后的签名和带来的签名相同, 就知道用户已经登录过了,并且可以直接取到的user id , 如果不相同, 数据部分肯定被人篡改过, 我就告诉发送者: 对不起,没有认证。
网络编程之tokensession、cookie详解
qq_30067153的博客
02-26 1337
理解cookie、sessiontoken的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookie和token保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。
sessiontoken
最新发布
weixin_48811255的博客
07-01 400
sessiontoken
javasessiontoken以及token实现
qq_29950673的博客
03-01 5579
session:会话 由于网络种HTTP协议本身是无状态协议,无法确定请求的对象是否是同一个,所有出现了session。 当通过浏览器第一次访问服务端资源时,服务端会创建一个session,并未该session生成一个唯一的key,即sessionid,以key,value的方式保证在缓存种,也可持久化到数据库,具体看项目需求,一般情况不需要持久化(个人观点),服务端将生成的sessionid...
彻底理解cookie,sessiontoken使用及原理
10-16
主要介绍了彻底理解cookie,sessiontoken使用及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
session vs token 使用特性.md
03-15
sessiontoken 特性,让你更了解 sessiontoken ,更合理的 使用 sessiontoken
Javasession实现token接口测试过程图解
08-19
Javasession实现token接口测试过程图解是指在Java实现token接口测试的过程图解,这个过程图解主要介绍了如何使用Java来实现跨sessiontoken接口测试。下面是相关知识点的详细说明: 一、Java Session机制 在...
创建带时间戳的session值,以及设置token
02-20
在Web开发SessionToken是两种常见的身份验证机制,用于保护用户数据安全。下面将详细解释这两个概念,以及如何创建带有时间戳的Session值和设置Token。 **一、Session** Session是服务器端存储用户状态的一...
由系统产生一个随机数,存入session。提供8次机会猜测随机数的值,用户每次猜测数值以及与随机数比较的结果显示在输入框之上,如果猜出随机数,显示“恭喜你猜对了”,当8次机会用完还没有猜对,显示“猜
qq_45756273的博客
11-04 450
由系统产生一个随机数,存入session。提供8次机会猜测随机数的值,用户每次猜测数值以及与随机数比较的结果显示在输入框之上,如果猜出随机数,显示“恭喜你猜对了”,当8次机会用完还没有猜对,显示“猜测值是**,你失败了! 输出效果: 代码如下: <%@ page import="java.util.Random" %><%-- Created by IntelliJ IDEA. User: 17513 Date: 2021/11/3 Time: 16:29 To c
进行一次性校验码的校验(session、时间戳、随机数、字符缓存、绘画)
cuterabbitbaby的博客
11-15 2028
MyHtml.html --> function changeimage(){ document.getElementById("imag").src="/J2EE/checkimagservlet?time="+new Date().getTime(); //由于没有改变路径,浏览器有缓存,自动载缓存内的值,上时间戳后每次路径不一样 } 姓名 密码 <inp
token+session+cookie
economics3的博客
03-12 2086
学习这三样的只需要知道一个前提,http协议是无状态的,他不会保存服务器和浏览器之间通信 其次我们还要知道前端存储问题,前端拿到信息存在哪里? 1.html定义的一个storage 2.存在cookie 3.定义一个变量保存(刷新之后可能就没了) ...
11-29token+session 的登录业务流程cookie+session 的登录业务流程jwt的登录业务流程
June_net的博客
11-29 97
登录
Tokensession的理解及使用
weixin_30265103的博客
10-24 610
最近项目有用到TokenSession,但是我对此不是很理解,所以特地整理下学习笔记,已便自己查看,也可以帮助到更多跟我一样有疑惑者。 一、我们先解释一下他的含义: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 ...
TokenSession 原理及优缺点
Future1994的博客
11-22 4562
转自:TokenSession 原理及优缺点 - 简书 SessionToken的区别 一、cookie http请求时无状态的。就是说第一次和服务器连接并登陆成功后,第二次请求服务器仍然不知道当前请求的用户。 cookie出现就是解决了这个问题,第一次登陆后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当用户第二次返回请求的时候,就会把上次请求存储的cookie数据自动携带给服务器。 如果关闭浏览器cookie失效(cookie就是保存在内存) 如果关闭浏览器cook
cookie、sessiontoken之间的关系
热门推荐
开发猫
10-30 1万+
cookie、sessiontoken之间的关系 token 令牌,是用户身份的验证方式。 最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名)。对Token认证的五点认识 一个Token就是一些信息的集合; 在Token包含足够多的信息,以便在后续请求减少查询数据库的几率; 服务端需要对cookie和HTTP Authrorizat...
token是什么
猪肉炖白菜
11-25 494
一、我们先解释一下它的含义: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token...
在vue开发项目如何使用tokensession和cookie
06-10
在 Vue 项目,可以使用 tokensession 和 cookie 进行用户认证和授权。 1. Token Token 是一种无状态的认证方式,客户端通过用户名和密码向服务器发起请求,服务器验证成功后生成一个 token 并返回给客户端,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值