【转】Struts中Token的使用方法
上一篇 / 下一篇 2009-07-15 11:04:33 / 个人分类:其他
Struts的Token(令牌)机制能够很好的解决表单重复提交的问题,基本原理是:服务器端在处理到达的请求之前,会将请求中包含的令牌值与保存在当前用户会话中的令牌值进行比较,看是否匹配。在处理完该请求后,且在答复发送给客户端之前,将会产生一个新的令牌,该令牌除传给客户端以外,也会将用户会话中保存的旧的令牌进行替换。这样如果用户回退到刚才的提交页面并再次提交的话,客户端传过来的令牌就和服务器端的令牌不一致,从而有效地防止了重复提交的发生。 c0uftyF%]-u]c?051Testing软件测试网a'Li'u s5u.Eu4}(P 这时其实也就是两点,第一:你需要在请求中有这个令牌值,请求中的令牌值如何保存,其实就和我们平时在页面中保存一些信息是一样的,通过隐藏字段来保存,保存的形式如: 〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,这个value是TokenProcessor类中的generateToken()获得的,是根据当前用户的session id和当前时间的long值来计算的。第二:在客户端提交后,我们要根据判断在请求中包含的值是否和服务器的令牌一致,因为服务器每次提交都会生成新的Token,所以,如果是重复提交,客户端的Token值和服务器端的Token值就会不一致。下面就以在数据库中插入一条数据来说明如何防止重复提交。 1t We2F*~%N,gj051Testing软件测试网x+wg9h-}){p3L 在Action中的add方法中,我们需要将Token值明确的要求保存在页面中,只需增加一条语句:saveToken(request);,如下所示:51Testing软件测试网.~Ir;O)A}`'l0_ public ActionForward add(ActionMapping mapping, ActionForm. form, G(|0Z!DR#_1@0HttpServletRequest request, HttpServletResponse response) ;nIt#y9`0//前面的处理省略 ~t7j5[0xRtF0saveToken(request);51Testing软件测试网 l6U9R3b{0i,O return mapping.findForward("add"); 2r{\-^HS0}在Action的insert方法中,我们根据表单中的Token值与服务器端的Token值比较,如下所示: VmiDV!v\*Hj0public ActionForward insert(ActionMapping mapping, ActionForm. form,51Testing软件测试网ycob1b1r:n8e HttpServletRequest request, HttpServletResponse response) }fj;X%Vip] Pgs0if (isTokenValid(request, true)) {51Testing软件测试网*}K-W:e?&{"O_ // 表单不是重复提交 r\ ~.xX+Lr6Jk,nn2tI0//这里是保存数据的代码51Testing软件测试网Gz#w};jt H } else {51Testing软件测试网6w6X/aN\WS //表单重复提交 | C/} Z1h5~$i2~0saveToken(request);51Testing软件测试网+w/v7iTD;tX n //其它的处理代码 5X|cEl#QG0}51Testing软件测试网p(o{D0p-X:G }51Testing软件测试网Mm2q(m2o Vh 51Testing软件测试网I GSR0JF0nsY{U 其实使用起来很简单,举个最简单、最需要使用这个的例子:51Testing软件测试网i0j$C @%Yv.M'@ 一般控制重复提交主要是用在对数据库操作的控制上,比如插入、更新、删除等,由于更新、删除一般都是通过id来操作(例如:updateXXXById, removeXXXById),所以这类操作控制的意义不是很大(不排除个别现象),重复提交的控制也就主要是在插入时的控制了。 V]8^'k P)Ex051Testing软件测试网r,m!s$E0d5Slk 先说一下,我们目前所做项目的情况: p]"b;n!K]@0目前的项目是用Struts+Spring+Ibatis,页面用jstl,Struts复杂View层,Spring在Service层提供事务控制,Ibatis是用来代替JDBC,所有页面的访问都不是直接访问jsp,而是访问Structs的Action,再由Action来Forward到一个Jsp,所有针对数据库的操作,比如取数据或修改数据,都是在Action里面完成,所有的Action一般都继承BaseDispatchAction,这个是自己建立的类,目的是为所有的Action做一些统一的控制,在Struts层,对于一个功能,我们一般分为两个Action,一个Action里的功能是不需要调用Struts的验证功能的(常见的方法名称有add,edit,remove,view,list),另一个是需要调用Struts的验证功能的(常见的方法名称有insert,update)。 8C1Z"iR0TW(R]a051Testing软件测试网1uHz+d"rJ@bBe^ 就拿论坛发贴来说吧,论坛发贴首先需要跳转到一个页面,你可以填写帖子的主题和内容,填写完后,单击“提交”,贴子就发表了,所以这里经过两个步骤:51Testing软件测试网g8]/q0QljP:GO%\&e 1、转到一个新增的页面,在Action里我们一般称为add,例如:51Testing软件测试网[ gxG+J0_ public ActionForward add(ActionMapping mapping, ActionForm. form,51Testing软件测试网? p;w1Z6D HttpServletRequest request, HttpServletResponse response)51Testing软件测试网/mK;T ^5WD throws Exception { |