给敏感页面加token

最新推荐文章于 2024-05-15 19:59:20 发布
最新推荐文章于 2024-05-15 19:59:20 发布
阅读量684 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39869537/article/details/90519651
版权

1、加类

/**
 * 生成Token的工具类:
 */
package com.yiduit.web.core.common.util;
  
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;
  
import sun.misc.BASE64Encoder;
  
/**
 * 生成Token的工具类
 * @author zhous
 * @since 2018-2-23 13:59:27
 *
 */
public class TokenProccessor {
     
     private TokenProccessor(){};
     private static final TokenProccessor instance = new TokenProccessor();
      
    public static TokenProccessor getInstance() {
        return instance;
    }
  
    /**
     * 生成Token
     * @return
     */
    public String makeToken() {
        String token = (System.currentTimeMillis() + new Random().nextInt(999999999)) + "";
         try {
            MessageDigest md = MessageDigest.getInstance("md5");
            byte md5[] =  md.digest(token.getBytes());
            BASE64Encoder encoder = new BASE64Encoder();
            return encoder.encode(md5);
        } catch (NoSuchAlgorithmException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
         return null;
    }
}

2、还有一个

/**
 *
 */
package com.yiduit.web.core.common.util;
  
import javax.servlet.http.HttpServletRequest;
  
import org.apache.commons.lang3.StringUtils;
  
/**
 * Token的工具类
 * @author zhous
 * @since 2018-2-23 14:01:41
 *
 */
public class TokenTools {
     
    /**
     * 生成token放入session
     * @param request
     * @param tokenServerkey
     */
    public static void createToken(HttpServletRequest request,String tokenServerkey){
        String token = TokenProccessor.getInstance().makeToken();
        request.getSession().setAttribute(tokenServerkey, token);
    }
     
    /**
     * 移除token
     * @param request
     * @param tokenServerkey
     */
    public static void removeToken(HttpServletRequest request,String tokenServerkey){
        request.getSession().removeAttribute(tokenServerkey);
    }
     
    /**
     * 判断请求参数中的token是否和session中一致
     * @param request
     * @param tokenClientkey
     * @param tokenServerkey
     * @return
     */
    public static boolean judgeTokenIsEqual(HttpServletRequest request,String tokenClientkey,String tokenServerkey){
        String token_client = request.getParameter(tokenClientkey);
//        String token_client = request.getHeader(tokenClientkey);
        if(StringUtils.isEmpty(token_client)){
            return false;
        }
        String token_server = (String) request.getSession().getAttribute(tokenServerkey);
        if(StringUtils.isEmpty(token_server)){
            return false;
        }
         
        if(!token_server.equals(token_client)){
            return false;
        }
         
        return true;
    }
     
}
 

3、前端

<div class="form-group">
            <div class="col-sm-9">
                <input type="hidden" value="${token}" id="token" name="token"/>
            </div>
        </div>

4、一起提交表单

5、在跳转页面加token

/**
     * 跳转到修改敏感信息界面
     * @param request
     * @return
     */
    @RequestMapping(value = "/toModifyPassword")
    public String toModifyPassword(Model model,HttpServletRequest request,Integer userId) {
        //生成token
        String valueOf = String.valueOf(userId);
        String token = TokenProccessor.getInstance().makeToken();
        request.getSession().setAttribute("token", token);
        request.setAttribute("token",token);
        TabCoreUserEntity coreUser = userService.getUserInfoByUserId(userId);
        model.addAttribute("user",coreUser);
        return "/user/modifyPassword";
    }

6、在修改方法中比较两个值

boolean judgeTokenIsEqual = TokenTools.judgeTokenIsEqual(request,"token","token");

 

注意:记录一个循环的坑,要获取token_25,页面可以取到${user.userId},但是如果获取key?(token_25)

 <c:set var="tokenKey" scope="page" value="token_${user.userId}"/>
<input type="hidden" value="${requestScope[tokenKey]}" id="token" name="token"/>

XIAO晨桃桃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Token详解及安全验证
qq_53058639的博客
03-08 1681
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
让每个Http请求都自动带上token
wdquan19851029的专栏
12-23 1万+
token放到cookie中,这样每个http请求就都可以带上token信息了。 access_token="jeerfdafdseveaewfewfewa......"; document.cookie = "keycloakToken=" + access_token; 下面以Django的中间件为例,看看后端是怎样从request中得到token信息。 accessToken = ""; if not request.META.get('HTTP_COOKIE'): #判断有没有cooki
[Token获取教程]
最新发布
m0_62526496的博客
05-15 2719
Token获取教程
swagger页面直接添token+网关验证
cxywangshun的博客
06-17 2308
swagger添token验证
token 验证和 H5 中的页面存储技术
weixin_50828895的博客
02-27 2207
token
数据交互系列:简述token和如何使用token
Code_King006的博客
07-31 2618
欢饮各位大神和同行指点❤
页面使用密码保护代码
09-05
服务器端会对这些信息进行验证,如果认证成功,会返回一个会话标识(如Cookie或Token),用于后续的请求来确认用户的身份。这种方式可以有效防止中间人攻击,同时也减轻了前端的安全压力,因为敏感的验证逻辑和用户...
美团Token测试.7z
05-14
- Token是服务器颁发给客户端的一个短时有效的凭证,用于代替传统Cookie进行身份验证。 - 它通常包含用户身份信息,以JSON Web Token (JWT) 或自定义格式存在,可以防止跨站请求伪造(CSRF)攻击。 2. **CefSharp**...
js代码-大屏token访问
07-14
5. **安全性考虑**:为了防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF),JavaScript代码需要遵循最佳实践,如使用HTTPS,对敏感操作进行确认,以及验证服务器返回的Token。 在`README.txt`文件中,可能会提供关于如何...
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
这通常涉及到在浏览器中打开登录页面,用户登录后同意授权。然后,授权服务器将返回一个授权码到预先指定的回调地址。 3. **交换授权码获取Token**:一旦客户端拿到授权码,它会发送一个POST请求到授权服务器的...
oauth2.0 access_token资源认证
01-10
总之,OAuth2.0的access_token机制在Oracle数据库资源认证中的作用是通过安全、授权的方式来保护数据库资源,避免敏感数据泄露,同时简化了权限管理。客户端通过获取和使用access_token,能够在用户授权范围内安全地...
Token登录认证
weixin_34075551的博客
03-30 505
参考文章: Token 认证的来龙去脉 前后端分离使用 Token 登录解决方案 理解Cookie和Session机制 基于 Cookie/Session 的认证方案 Cookie Cookie的工作原理 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身...
浏览器面试题
杨前露的博客
06-03 900
浏览器面试题 1.前端怎么解决跨域 1.Jsonp jsonp的原理就是利用<script>标签没有跨域限制,通过<script>标签src属性,将本地的全局函数通过callback传到服务器,服务端将接口返回数据拼凑到callback函数中,返回给客服端 实现思路 服务端的代码: <script> var script = document.createElement('script'); script.type ............
页面token
Dj_Fairy的博客
05-11 3076
1、页面登陆时要token sessionStorage.setItem('user', postData.loginName); sessionStorage.setItem("User-Token", res.token);2、页面载时要保存token $.ajaxSetup({ beforeSend:function(xhr){ xhr.setRequ...
token在前端页面的处理
yiXin_Chen的博客
02-28 1342
token在登录页面载登录用户信息页面的处理
基于token的用户登录页面简易开发
LiKEleen的博客
09-24 835
本文展示了基于token的简易登录界面开发过程,在开发过程中主要运用了Flask框架、Umi框架、antd组件和axios库。
html页面如何获取已经存在的token,移动端通过携带token访问html页面
weixin_31739613的博客
06-03 4268
项目中有一个页面需要放到移动端,pc端是通过账号密码登录获取token,跳转网页前,在beforeEach中验证是否已有token,但是在移动端就访问这一个页面,为了避免登录就需要直接用token去访问,我是通过?把token拼接在网址后面判断移动端还是pc端,在beforeEach之前判断,这样pc端就不能通过token去访问window.location.href=window.locatio...
给浏览器添token,便于调试代码
热门推荐
robinson_911的专栏
01-27 2万+
切换到console 前端直接在浏览器中强制设置token document   回车 document.cookie='token= token_18258178435_327cfc3a290b0ba8938b33439de94ae6'   回车
后台返回的HTML整个页面代码打开方法
m0_37327931的博客
05-07 2万+
后台返回的html代码片段,需要插入html标签中,而返回的整个html文档,则需要重写整个页面。解决方法:需要一个中转页面,用document.write()方法重写整个页面;// POST任意内容并跳转 function StandardPost(html) { localStorage.removeItem('callbackHTML'); localStorage.setI...
csrf token流程
06-12
2. 当用户访问包含表单或其他敏感操作的页面时,服务器将该 CSRF token 作为一个隐藏的表单字段或请求头信息返回给客户端。 3. 用户提交表单或触发其他敏感操作时,客户端将该 CSRF token 作为表单提交或请求头信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值