spring mvc基于token防止重复提交验证

最新推荐文章于 2024-08-20 21:37:50 发布
最新推荐文章于 2024-08-20 21:37:50 发布
阅读量774 收藏 2
点赞数

spring mvc基于token防止重复提交验证

实现思路:

在springmvc配置文件中加入拦截器的配置,拦截两类请求,一类是到页面的,一类是提交表单的。当转到页面的请求到来时,生成token的名字和token值,放入session,在页面表单的隐藏域显示。

当表单请求提交时,拦截器得到参数中的tokenName和token,然后到session中去取token值,如果能匹配上,请求就通过,不能匹配上就不通过。这里的token生成时也是随机的,每次请求都不一样。而从session中取token值时,会立即将其删除(删与读是原子的,无线程安全问题)。

一、首先创建一个token处理类  ,这里的类名叫 TokenHandler

[java]  view plain  copy
  1. package com.base.utils;  
  2. import java.math.BigInteger;  
  3. import java.util.HashMap;  
  4. import java.util.Map;  
  5. import java.util.Random;  
  6.   
  7. import javax.servlet.http.HttpServletRequest;  
  8. import javax.servlet.http.HttpSession;  
  9.   
  10. import org.apache.log4j.Logger;  
  11.   
  12. /** 
  13.  * 创建时间:2017年4月5日 下午5:56:31  
  14.  * 项目名称:tra02 
  15.  *  
  16.  * @author hc 
  17.  * @version 1.0  
  18.  * 文件名称:TokenHandler.java  
  19.  * 类说明: 
  20.  */  
  21. public class TokenHandler {  
  22.     private static Logger logger = Logger.getLogger(TokenHandler.class);  
  23.   
  24.     static Map<String, String> springmvc_token = null;  
  25.   
  26.     // 生成一个唯一值的token  
  27.     @SuppressWarnings("unchecked")  
  28.     public synchronized static String generateGUID(HttpSession session) {  
  29.         String token = "";  
  30.         try {  
  31.             Object obj = session.getAttribute("SPRINGMVC.TOKEN");  
  32.             if (obj != null)  
  33.                 springmvc_token = (Map<String, String>) session.getAttribute("SPRINGMVC.TOKEN");  
  34.             else  
  35.                 springmvc_token = new HashMap<String, String>();  
  36.             token = new BigInteger(165new Random()).toString(36).toUpperCase();  
  37.             springmvc_token.put(Constants.DEFAULT_TOKEN_NAME + "." + token, token);  
  38.             session.setAttribute("SPRINGMVC.TOKEN", springmvc_token);  
  39.             Constants.TOKEN_VALUE = token;  
  40.             // System.out.println(session.getAttribute("SPRINGMVC.TOKEN"));  
  41.         } catch (IllegalStateException e) {  
  42.             logger.error("generateGUID() mothod find bug,by token session...");  
  43.         }  
  44.         return token;  
  45.     }  
  46.   
  47.     // 验证表单token值和session中的token值是否一致  
  48.     @SuppressWarnings("unchecked")  
  49.     public static boolean validToken(HttpServletRequest request) {  
  50.         String inputToken = getInputToken(request);  
  51.   
  52.         if (inputToken == null) {  
  53.             logger.warn("令牌是不是有效的。inputtoken是空的");  
  54.             return false;  
  55.         }  
  56.   
  57.         HttpSession session = request.getSession();  
  58.         Map<String, String> tokenMap = (Map<String, String>) session.getAttribute("SPRINGMVC.TOKEN");  
  59.         if (tokenMap == null || tokenMap.size() < 1) {  
  60.             logger.warn("token is not valid!sessionToken is NULL");  
  61.             return false;  
  62.         }  
  63.         String sessionToken = tokenMap.get(Constants.DEFAULT_TOKEN_NAME + "." + inputToken);  
  64.         if (!inputToken.equals(sessionToken)) {  
  65.             logger.warn("token is not valid!inputToken='" + inputToken + "',sessionToken = '" + sessionToken + "'");  
  66.             return false;  
  67.         }  
  68.         tokenMap.remove(Constants.DEFAULT_TOKEN_NAME + "." + inputToken);  
  69.         session.setAttribute("SPRINGMVC.TOKEN", tokenMap);  
  70.   
  71.         return true;  
  72.     }  
  73.   
  74.     // 获取表单中token值  
  75.     @SuppressWarnings("unchecked")  
  76.     public static String getInputToken(HttpServletRequest request) {  
  77.         Map params = request.getParameterMap();  
  78.         System.out.println(request.getSession().getAttribute("SPRINGMVC.TOKEN"));  
  79.         if (!params.containsKey(Constants.DEFAULT_TOKEN_NAME)) {  
  80.             logger.warn("无法找到令牌名称参数。");  
  81.             return null;  
  82.         }  
  83.   
  84.         String[] tokens = (String[]) (String[]) params.get(Constants.DEFAULT_TOKEN_NAME);  
  85.   
  86.         if ((tokens == null) || (tokens.length < 1)) {  
  87.             logger.warn("得到空或空的令牌名称。");  
  88.             return null;  
  89.         }  
  90.         String temp = tokens[0];  
  91.         String inputtoken = temp.substring(temp.indexOf("=") + 1, (temp.length()) - 1);  
  92.         return inputtoken;  
  93.     }  
  94. }  

二、建立常量配置类Constabts

[java]  view plain  copy
  1. package com。base.utils;  
  2.   
  3. /** 
  4.  * 创建时间:2017年4月5日 下午5:57:58  
  5.  * 项目名称:traffic02 
  6.  *  
  7.  * @author hc 
  8.  * @version 1.0  
  9.  * 文件名称:Constants.java  
  10.  * 类说明: 
  11.  */  
  12. public class Constants {  
  13.       
  14.     public static String DEFAULT_TOKEN_MSG_JSP = "add.jsp";  
  15.     public static String TOKEN_VALUE;  
  16.     public static String DEFAULT_TOKEN_NAME = "springMVC.token";  
  17.       
  18. }  

三、前端页面 主要是隐藏域

[html]  view plain  copy
  1. <%@page import="java.util.Map"%>  
  2. <%@ page language="java" contentType="text/html; charset=utf-8"  
  3.     pageEncoding="utf-8"%>  
  4. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  
  5. <html>  
  6. <head>  
  7. <meta http-equiv="Content-Type" content="text/html; charset=utf-8">  
  8. <title>Insert title here</title>  
  9. </head>  
  10. <body>  
  11.     <div align="center">  
  12.     <form action="user/add" method="post" >  
  13.       
  14.     <input type="hidden" name="springMVC.token" value="<%=session.getAttribute("SPRINGMVC.TOKEN")%>>  
  15.     名字:<input type="text" name="username">  
  16.     密码:<input type="password" name="password"/>  
  17.     <input type="submit" value="提交">  
  18.     </form>  
  19.       
  20.     </div>  
  21. </body>  
  22. </html>  

四、controller不用多写什么,能跳转举行

[java]  view plain  copy
  1. package com.traffic.controller;  
  2.   
  3. import org.springframework.stereotype.Controller;  
  4. import org.springframework.ui.Model;  
  5. import org.springframework.web.bind.annotation.RequestMapping;  
  6.   
  7. /**   
  8. * 创建时间:2017年4月5日 下午1:43:00   
  9. * 项目名称:tra   
  10. * @author hc   
  11. * @version 1.0    
  12. * 文件名称:UserController.java   
  13. * 类说明:   
  14. */  
  15. @Controller  
  16. @RequestMapping("/user")  
  17. public class UserController {  
  18.       
  19.     @RequestMapping("/toadd")  
  20.     public String toadd(Model model){  
  21.           
  22.         return "forward:/add.jsp";  
  23.     }  
  24.       
  25.     @RequestMapping("/add")  
  26.     public String add(String username,String password,Model model){  
  27.           
  28.         System.out.println("suc");  
  29.         return "forward:/suc.jsp";  
  30.     }  
  31. }  
  32.    
五、重点是拦截器 一个生成token,一个验证token。

[java]  view plain  copy
  1. public class TokenHandlerInterceptor implements HandlerInterceptor{  
  2.    
  3.    
  4.     public void afterCompletion(HttpServletRequest arg0,  
  5.             HttpServletResponse arg1, Object arg2, Exception arg3)  
  6.             throws Exception {  
  7.     }  
  8.    
  9.     public void postHandle(HttpServletRequest request, HttpServletResponse response,  
  10.             Object arg2, ModelAndView arg3) throws Exception {  
  11.         TokenHandler.generateGUID(request.getSession());  
  12.     }  
  13.    
  14.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response,  
  15.             Object arg2) throws Exception {  
  16.         return true;  
  17.     }  
  18.    
  19. }  
  20.    
  21.    
  22.    
  23. /** 
  24.  * @Title 
  25.  * @author  
  26.  * @date  
  27.  */  
  28. public class TokenValidInterceptor implements HandlerInterceptor{  
  29.    
  30.     public void afterCompletion(HttpServletRequest request,  
  31.             HttpServletResponse response, Object arg2, Exception arg3)  
  32.             throws Exception {  
  33.     }  
  34.    
  35.     public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1,  
  36.             Object arg2, ModelAndView arg3) throws Exception {  
  37.            
  38.     }  
  39.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response,  
  40.             Object arg2) throws Exception {  
  41.         if(!TokenHandler.validToken(request)){  
  42.             response.sendRedirect(Constants.DEFAULT_TOKEN_MSG_JSP);  
  43.             return false;  
  44.         }  
  45.     return true;  
  46.     }  
  47.    
  48. }  

六、当然 springmvc要配置拦截器

[html]  view plain  copy
  1. <mvc:interceptor>  
  2.             <mvc:mapping path="/index.do" />-->这个请求返回的是你有token的页面  
  3.             <bean class="com.dengyang.interceptor.TokenHandlerInterceptor" />  
  4.         </mvc:interceptor>  
  5.         <mvc:interceptor>  
  6.             <mvc:mapping path="/indexSubmit.do" />-->这个是提交请求  
  7.             <bean class="com.dengyang.interceptor.TokenValidInterceptor" />  
  8.         </mvc:interceptor>  
  9.    

七、本方案如果不足之处,请大神们指教;

声明:本方案源于

http://www.oschina.net/code/snippet_100825_21906  

本人做了一些修改



阅读全文
洗脚水真香丶
关注
springmvc下的Token设计
koyi0000的博客
12-04 4281
1.第一次开发前后端分离项目,后台使用java SpringMvc,因为前端使用ajax,存在跨域问题,所以后台使用token的方式设计接口安全,直接上想法和代码。采用自定义的注解进行Token认证。直接上代码。  创建自定义注解 UserAccess, 代码:  /**   *  自定义注解  验证Token   * @author Administrator   *   */
基于springmvc 通过注解方式实现token重复提交验证
傻根她弟
09-02 540
token验证,记得当年struts/struts2的时候,现在页面设置token,然后在 action进行验证,而在springmvc下,有更简单的方法 具体实现如下: /** * 防止重复提交 * @author 傻根她弟 * */ @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) @Docume...
spring mvc token
Jackia的专栏
07-01 2817
http://web.securityinnovation.com/appsec-weekly/blog/bid/79007/How-to-Prevent-Cross-Site-Request-Forgery-CSRF-in-SpringMVC public class CSRFRequestDataValueProcessor implements RequestDataValue
避免重复提交Spring MVC实践
最新发布
m0_62153576的博客
08-20 261
在Web开发中,表单的重复提交是一个常见的问题,尤其是在用户网络不稳定或者误操作的情况下。Spring MVC框架提供了一种优雅的方式来处理这个问题,即通过重定向(redirect)来避免这种情况。下面,我将通过一个用户注册的例子,详细说明如何使用Spring MVC实现这一机制。
Spring mvc Token
今天最成功
08-03 740
  request.getSession(false).setAttribute("tokenTzdr", UUID.randomUUID());   html 添加 内容 &lt;input type="hidden" name="tokenTzdr" value="${tokenTzdr}" /&gt;   判断内容  Object tokenTzdrObj = request...
struts2的的用法和注意事项
b233222756的专栏
06-25 301
struts2的用法及注意事项合集(2009-06-10 15:37:07)转载标签:it分类: struts2 生成如下的内容:(struts.token.name 标识哪个隐藏域存了 token 值)                   注意自定义的表单域别重名了。它的作用是防止表单重复提交,每次加载页面 struts.to
springMVC项目自定义注解token防重提交验证(也可用于验证请求有效性)
df331009的博客
10-17 1115
有时我们在项目框架搭建时并没有注意方重复提交的问题,在项目开发一半后发现许多地方需要方重复提交拦截功能,常规做法是在每个需要校验的请求接口中一一加上验证,但这样做的话工作量大并且代码入侵太严重如果后期需要改动那你会疯的。 有个简便的方法和大家分享下(自定义注解+拦截器),自用在需要防重提交的接口中加上注解即可。   1.自定义注解只有两个方法,获取token验证token packag...
Spring mvc防止数据重复提交的方法
08-26
Spring MVC 防止数据重复提交的方法是使用 Token 机制来实现的,该机制通过在服务器端生成一个随机的 UUID,并将其存储在 Session 中,然后在客户端提交数据时带上该 UUID,服务器端在接收到该 UUID 后,对其进行...
springMVC中基于token防止表单重复提交方法
08-29
SpringMVC中基于Token防止表单重复提交方法 SpringMVC中基于Token防止表单重复提交方法是指通过在SpringMVC配置文件中添加拦截器配置,来拦截页面请求和表单提交请求,以防止表单重复提交。下面是该方法的实现思路...
spring-token:整合JWT,springspringMVC实现基于token验证
05-11
整合JWT,springspringMVC实现基于token验证 因为CSDN博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWT和springspringMVC的...
token-springMVC 防止重复提交
08-01
总的来说,"Token-SpringMVC"是Spring MVC框架中防止重复提交的一种实用策略,它通过令牌验证确保了请求的唯一性,从而保护了系统的数据一致性。在实际开发中,我们需要根据项目需求和安全级别来选择合适的防止重复...
利用Token机制解决重复重复提交
03-07
利用Token机制解决重复重复提交
JWT(JsonWebToken)+SpringMVC demo
10-12
spring mvc + jwt token 简单例子,正在搭建 希望对大家游泳
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web Token(JWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
SpringMVC token 防止表单重复提交,加上注释,帮助理解
a5601564的博客
09-10 3621
package com.framework.plugin.token; import java.lang.annotation.Retention; import java.lang.annotation.Target; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.ElementType;
spring MVC 后台token防重提交
新方之玉的IT专栏
03-12 450
spring MVC 后台token防重提交解决方案 思路 1.添加拦截器,拦截需要防重提交的请求 2.通过注解@Token来添加token/移除token 3.前端页面表单添加 &lt;input name='token' type='hiden'&gt; (如果是Ajax请求则需要在请求的json数据中添加token值) 核心源码 拦截器...
springmvc跨域+token验证(app后台框架搭建二)
蝴蝶飞、不飞的博客
03-21 1009
文章出处:https://www.cnblogs.com/minsons/p/7058837.html这是app后台框架搭建的第二课,主要针对app应用是跨域的运用,讲解怎么配置跨域服务;其次讲解怎么进行token验证,通过拦截器设置token验证和把token设置到http报文中。主要有如下:      1)app后台跨域设置     2)拦截器中设置http报文header中token    ...
SSM——Spring MVC Vue token的生成和校检(三)
每天一个前端小知识~
12-29 1948
一、什么是Token 在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,例如Facebook, Twitter, Google+, GitHub等。tokens 是多用户下处理认证的最佳方式。 以下几点特性会让你在程序中使用基于Token的身份验证 1.无状态、可扩展 2.支持移动设备 3.跨程序调用 4.安全 二、Vue前后端分离项目中如何使用Token 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验
spring MVC 后台token防重提交解决方案
kodmoqn的博客
06-29 52
spring MVC 后台token防重提交解决方案
Spring MVC接口安全防护:防止数据篡改与重复提交
"这篇教程详细介绍了如何在Spring MVC框架中实现接口的数据安全防护,包括防止数据篡改和防止重复提交。教程中通过自定义注解和拦截器来实现这一目标,确保接口的安全性。" 在Spring MVC应用中,数据安全是至关重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值