在页面中添加Token防止越权访问

1、首先是在访问JSP的时候生成一个随机数,放入session中。同时会在服务器缓存一份Token。

2、当form到后台后,调用工具类验证Token。会在TokenList中验证是有该Token值,如果有则验证通过,同时删除List中的Token。

多年前写的东西了,现在基本都是前后端分离使用无状态连接了。同理在下发时生成一个token返回客户端,客户端上报需要带上。

更复杂点防止篡改参数,可以使用md5 + encrpyt。

  • 先把参数按正序排列,使用对称AES加密,得到ep
  • 同时对参数md5,得到md
  • 上报时,ep解密,随后排序再md5,对比md5是否一样。

1.引入工具类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122

package com.yiwei.utils;

import java.util.ArrayList;

import javax.servlet.http.HttpSession;

public class Token {

	private static final String TOKEN_LIST_NAME = "tokenList";

	public static final String TOKEN_STRING_NAME = "token";

	private static ArrayList getTokenList(HttpSession session) {

		Object obj = session.getAttribute(TOKEN_LIST_NAME);

		if (obj != null) {

			return (ArrayList) obj;

		} else {

			ArrayList tokenList = new ArrayList();

			session.setAttribute(TOKEN_LIST_NAME, tokenList);

			return tokenList;

		}

	}

	private static void saveTokenString(String tokenStr, HttpSession session) {

		ArrayList tokenList = getTokenList(session);

		tokenList.add(tokenStr);

		session.setAttribute(TOKEN_LIST_NAME, tokenList);

	}

	private static String generateTokenString() {

		return new Long(System.currentTimeMillis()).toString();

	}

	/** */
	/**
	 * 
	 * Generate a token string, and save the string in session, then return the
	 * token string.
	 * 
	 * 
	 * 
	 * @param HttpSession
	 * 
	 *            session
	 * 
	 * @return a token string used for enforcing a single request for a
	 *         particular transaction.
	 * 
	 */

	public static String getTokenString(HttpSession session) {

		String tokenStr = generateTokenString();

		saveTokenString(tokenStr, session);

		return tokenStr;

	}

	/** */
	/**
	 * 
	 * check whether token string is valid. if session contains the token
	 * string, return true.
	 * 
	 * otherwise, return false.
	 * 
	 * 
	 * 
	 * @param String
	 * 
	 *            tokenStr
	 * 
	 * @param HttpSession
	 * 
	 *            session
	 * 
	 * @return true: session contains tokenStr; false: session is null or
	 *         tokenStr is id not in session
	 * 
	 */

	public static boolean isTokenStringValid(String tokenStr, HttpSession session) {

		boolean valid = false;

		if (session != null) {

			ArrayList tokenList = getTokenList(session);

			if (tokenList.contains(tokenStr)) {

				valid = true;

				tokenList.remove(tokenStr);

			}

		}

		return valid;

	}

}

2.在JSP页面导入类包

1
<%@ page import="com.yiwei.utils.Token" %>

3.在JSP页面form表单添加隐藏域

1

4.后台验证Token

1
2
3
4
if(!Token.isTokenStringValid(request.getParameter(Token.TOKEN_STRING_NAME), request.getSession())){
	responseMessage(response, "非法访问");
	return;
}

你可能感兴趣的:(在页面中添加Token防止越权访问)