码迷,mamicode.com
首页 > 编程语言 > 详细

java中Token验证

时间:2017-11-25 17:31:17      阅读:131      评论:0      收藏:0      [点我收藏+]

标签:预测   cti   防止   伪造   turn   object   and   value   需要   

什么是Token:它是一个令牌,随机不可预测的。

为什么需要使用Token: 1,防止表单的重复提交

2:,防止跨站点的请求伪造

Token的使用流程是:首先在服务器端生成一个随机的token值并在服务器端保存起来,然后向客户端请求的过程中把这个Token值传过去。之后页面操作完毕后向服务器提交数据的过程中又把这个Token值传回服务器端,同时比较这个Token值是否已经存在于服务器端,若存在,则此次访问是安全的,并在服务器端把这个Token值删除,若不存在,则此次访问无效。

好,了解Token的用法之后来看代码(项目中可直接粘贴使用)

---------------------------------------------------------------------以下为转载的代码:

(一)首先是Token工具类

 

[java] view plain copy
  1. package com.company.util;  
  2. import java.util.ArrayList;  
  3. import javax.servlet.http.HttpSession;  
  4. public class Token {  
  5. private static final String TOKEN_LIST_NAME = "tokenList";  
  6. public static final String TOKEN_STRING_NAME = "token";  
  7.   
  8. private static ArrayList getTokenList(HttpSession session) {  
  9.        Object obj = session.getAttribute(TOKEN_LIST_NAME);  
  10.        if (obj != null) {  
  11.           return (ArrayList) obj;  
  12.        } else {  
  13.           ArrayList tokenList = new ArrayList();  
  14.           session.setAttribute(TOKEN_LIST_NAME, tokenList);  
  15.           return tokenList;  
  16.        }  
  17.     }  
  18.   
  19. private static void saveTokenString(String tokenStr, HttpSession session) {  
  20.        ArrayList tokenList = getTokenList(session);  
  21.        tokenList.add(tokenStr);  
  22.        session.setAttribute(TOKEN_LIST_NAME, tokenList);  
  23.     }  
  24.   
  25. private static String generateTokenString(){  
  26.        return new Long(System.currentTimeMillis()).toString();  
  27.     }  
  28.   
  29. /** *//** 
  30.      * Generate a token string, and save the string in session, then return the token string. 
  31.      * @param HttpSession session 
  32.      * @return a token string used for enforcing a single request for a particular transaction. 
  33.      */  
  34.   
  35.     public static String getTokenString(HttpSession session) {  
  36.        String tokenStr = generateTokenString();  
  37.        saveTokenString(tokenStr, session);  
  38.        return tokenStr;  
  39.     }  
  40.   
  41. /** *//** 
  42.  
  43.      * check whether token string is valid. if session contains the token string, return true.  
  44.      * otherwise, return false. 
  45.      * @param String tokenStr 
  46.      * @param HttpSession session 
  47.      * @return true: session contains tokenStr; false: session is null or tokenStr is id not in session 
  48.      */  
  49.   
  50.     public static boolean isTokenStringValid(String tokenStr, HttpSession session) {  
  51.        boolean valid = false;  
  52.        if(session != null){  
  53.           ArrayList tokenList = getTokenList(session);  
  54.           if (tokenList.contains(tokenStr)) {  
  55.              valid = true;  
  56.              tokenList.remove(tokenStr);  
  57.           }  
  58.        }  
  59.        return valid;  
  60.     }  
  61. }  



 

(二)JSP页面中

1:先import该Token工具类

[java] view plain copy
  1. <%@ page import="com.company.util.Token" %>  

2:在表单中添加隐藏的Token值

[html] view plain copy
  1. <form>  
  2.     <input type="hidden" name="<%=Token.TOKEN_STRING_NAME %>" value="<%=Token.getTokenString(session) %>">  
  3. </form>  

(三)在服务器端Servlet中添加如下代码

 

[java] view plain copy
    1. if(Token.isTokenStringValid(request.getParameter(Token.TOKEN_STRING_NAME), request.getSession())){  
    2.     //To Do 业务代码  

java中Token验证

标签:预测   cti   防止   伪造   turn   object   and   value   需要   

原文地址:http://www.cnblogs.com/austinspark-jessylu/p/7895625.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!