欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

在页面中添加Token防止越权访问

程序员文章站 2024-03-19 14:32:16
...

1、首先是在访问JSP的时候生成一个随机数,放入session中。同时会在服务器缓存一份Token。

2、当form到后台后,调用工具类验证Token。会在TokenList中验证是有该Token值,如果有则验证通过,同时删除List中的Token。

多年前写的东西了,现在基本都是前后端分离使用无状态连接了。同理在下发时生成一个token返回客户端,客户端上报需要带上。

更复杂点防止篡改参数,可以使用md5 + encrpyt。

  • 先把参数按正序排列,使用对称AES加密,得到ep
  • 同时对参数md5,得到md
  • 上报时,ep解密,随后排序再md5,对比md5是否一样。

1.引入工具类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122


package com.yiwei.utils;

import java.util.ArrayList;

import javax.servlet.http.HttpSession;

public class Token {

	private static final String TOKEN_LIST_NAME = "tokenList";

	public static final String TOKEN_STRING_NAME = "token";

	private static ArrayList getTokenList(HttpSession session) {

		Object obj = session.getAttribute(TOKEN_LIST_NAME);

		if (obj != null) {

			return (ArrayList) obj;

		} else {

			ArrayList tokenList = new ArrayList();

			session.setAttribute(TOKEN_LIST_NAME, tokenList);

			return tokenList;

		}

	}

	private static void saveTokenString(String tokenStr, HttpSession session) {

		ArrayList tokenList = getTokenList(session);

		tokenList.add(tokenStr);

		session.setAttribute(TOKEN_LIST_NAME, tokenList);

	}

	private static String generateTokenString() {

		return new Long(System.currentTimeMillis()).toString();

	}

	/** */
	/**
	 * 
	 * Generate a token string, and save the string in session, then return the
	 * token string.
	 * 
	 * 
	 * 
	 * @param HttpSession
	 * 
	 *            session
	 * 
	 * @return a token string used for enforcing a single request for a
	 *         particular transaction.
	 * 
	 */

	public static String getTokenString(HttpSession session) {

		String tokenStr = generateTokenString();

		saveTokenString(tokenStr, session);

		return tokenStr;

	}

	/** */
	/**
	 * 
	 * check whether token string is valid. if session contains the token
	 * string, return true.
	 * 
	 * otherwise, return false.
	 * 
	 * 
	 * 
	 * @param String
	 * 
	 *            tokenStr
	 * 
	 * @param HttpSession
	 * 
	 *            session
	 * 
	 * @return true: session contains tokenStr; false: session is null or
	 *         tokenStr is id not in session
	 * 
	 */

	public static boolean isTokenStringValid(String tokenStr, HttpSession session) {

		boolean valid = false;

		if (session != null) {

			ArrayList tokenList = getTokenList(session);

			if (tokenList.contains(tokenStr)) {

				valid = true;

				tokenList.remove(tokenStr);

			}

		}

		return valid;

	}

}

2.在JSP页面导入类包

1

<%@ page import="com.yiwei.utils.Token" %>

3.在JSP页面form表单添加隐藏域

1

<input type="hidden" name="<%=Token.TOKEN_STRING_NAME %>" value="<%=Token.getTokenString(session) %>">

4.后台验证Token

1
2
3
4

if(!Token.isTokenStringValid(request.getParameter(Token.TOKEN_STRING_NAME), request.getSession())){
	responseMessage(response, "非法访问");
	return;
}

上一篇: kubernetes secret加密设置

下一篇: 【转】软件项目量化管理(CMMI高成熟度)实践经验谈——之概述篇 博客分类: 项目管理  

推荐阅读