验证码的工作原理

验证码通常在输入页面，主要是为了防止无聊人士通过循环提交攻击服务器

验证码的工作机制如下

step1）必须有个生成验证码的冬冬
1.1)验证码的显示
<img src="http://my.${constant.mainDomain}/images/ validate.do" width="130" height="20">
1.2)验证码的产生
validate.do通常是个servlet,核心实现如下
public void service(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        response.setHeader("Pragma","No-cache");
        response.setHeader("Cache-Control","no-cache");
        response.setDateHeader("Expires", 0);
       
    
        HttpSession session = request.getSession();
       
         //产生随机验证码
         String  validationcode = RandomCodeFactory.generate(4);
     
         // 放入session   
        session.setAttribute("validationcode",validationcode);
       
        //输出流生成图片
        byte[] bytes = ImageGenerator.generateJPEGValidateCode(validationcode,100,20);
        response.setContentType("images/jpg");
        OutputStream output = response.getOutputStream();
        output.write(bytes);
        output.flush();
    }

step2)action的实现

   //片断1 检查验证码，错误则返回到错误页面通常还是本页
    ActionContext context = ActionContext.getContext();
        String sessionvalidationcode = (String) context.getSession().get(
                "validationcode");
        if ((validationcode == null)
                || (!validationcode.equals(sessionvalidationcode))) {
            return "validate";
        }

        //。。。。。调用业务逻辑

       //片断2  清除session,否则后有漏洞
        context.getSession().remove("validationcode");

        return Action.SUCCESS;

注意：
1）上面的代码在webwork中实现，webwork相关的代码你无需理会，理解过程完全可以用任何方式实现
2）上面的代码一看就有味道，仅仅为了演示而已。片断1和片断2完全可以放在一个拦截器中实现，这样可以将验证与action本身的冬冬解耦。