一、使用方法

1、  假如你要提交的页面为toSubmit.jsp;

2、  在打开toSubmit.jsp的Action1中加入:saveToken(request),例如

public ActionForward execute(

    ActionMapping mapping,

    ActionForm form,

    HttpServletRequest request,

    HttpServletResponse response)

    throws Exception {

   

        //生成同步令牌

        saveToken(request);    

 

        return mapping.findForward("toSubmit");

}

3、  在提交toSubmit.jsp的Action2中加入:isTokenValid(request, true),例如:

public ActionForward execute(

    ActionMapping mapping,

    ActionForm form,

    HttpServletRequest request,

    HttpServletResponse response)

    throws Exception {

    // 验证同步令牌

        if (isTokenValid(request, true)) { 

            //执行提交操作 

        }else {

            // 重复提交        

            return mapping.findForward("Error");

        }

}

4、  使用注意:toSubmit.jsp中的form必须使用struts的标签<html:form>。

 

二、基本原理

第一步、在session中放入同步令牌

Action1中加入了saveToken(request)的方法后,调用TokenProcessor类的saveToken方法如下:

public synchronized void saveToken(HttpServletRequest request) {

 

    HttpSession session = request.getSession();

    String token = generateToken(request);

    if (token != null) {

        session.setAttribute(Globals.TRANSACTION_TOKEN_KEY, token);

    }

 

}

很明显在session中放入了同步令牌,名称为Globals.TRANSACTION_TOKEN_KEY。

 

第二步、在页面创建hidden元素

当应用服务器初始化toSubmit.jsp页面遇到标签<html:form>时,便会调用struts的FormTag类,其中有一个方法:

protected String renderToken() {

    StringBuffer results = new StringBuffer();

    HttpSession session = pageContext.getSession();

 

    if (session != null) {

        String token =

            (String) session.getAttribute(Globals.TRANSACTION_TOKEN_KEY);

            

        if (token != null) {

            results.append("<input type=\"hidden\" name=\"");

            results.append(Constants.TOKEN_KEY);

            results.append("\" value=\"");

            results.append(token);

            if (this.isXhtml()) {

                results.append("\" />");

            } else {

                results.append("\">");

            }

        }

    }

 

    return results.toString();

}

其意为:当检测到session中的Globals.TRANSACTION_TOKEN_KEY不为空时,在toSubmit.jsp页面创建元素:

<input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="">

名称为:org.apache.struts.taglib.html.TOKEN就是Constants.TOKEN_KEY;

值为:session中的Globals.TRANSACTION_TOKEN_KEY的值,即为同步令牌值。

 

第三步、验证同步令牌

Action2中加入isTokenValid方法,实际上是调用TokenProcessor类的isTokenValid方法如下:

public synchronized boolean isTokenValid(

    HttpServletRequest request,

    boolean reset) {

 

    // Retrieve the current session for this request

    HttpSession session = request.getSession(false);

    if (session == null) {

        return false;

    }

 

    // Retrieve the transaction token from this session, and

    // reset it if requested

    String saved = (String) session.getAttribute(Globals.TRANSACTION_TOKEN_KEY);

    if (saved == null) {

        return false;

    }

 

    if (reset) {

        this.resetToken(request);

    }

 

    // Retrieve the transaction token included in this request

    String token = request.getParameter(Constants.TOKEN_KEY);

    if (token == null) {

        return false;

    }

 

    return saved.equals(token);

}

它首先取得session中的令牌值,然后resetToken,再从页面hidden元素取来令牌值,进行比较,如果相等则为第一次,不等则为重复提交。

其中resetToken方法如下:

public synchronized void resetToken(HttpServletRequest request) {

 

  HttpSession session = request.getSession(false);

  if (session == null) {

      return;

  }

  session.removeAttribute(Globals.TRANSACTION_TOKEN_KEY);

}

 

posted on 2006-03-08 21:07 野草 阅读(2699) 评论(3)  编辑  收藏 所属分类: 2shtv

评论:
# re: 使用struts的同步令牌避免form的重复提交 2006-08-10 06:18 | ll
请教啊,我查看了使用isTokenValid()方法的类以及其父类都没有导入TokenProcessor类,甚至都没生成TokenProcessor对象,怎么会直接调用isTokenValid()方法呢,请指教  回复  更多评论
  
# re: 使用struts的同步令牌避免form的重复提交 2006-11-09 12:28 | AK100
首先确定导入了org.apache.struts包
其次导入后org.apache.struts.action下就有这个方法了..  回复  更多评论
  
# re: 使用struts的同步令牌避免form的重复提交 2008-11-05 08:08 | yangpan
写的真详细。。。好像懂了!

我去看看。。不懂再来请教您! 谢谢  回复  更多评论
  

只有注册用户登录后才能发表评论。


网站导航: