struts2 令牌使用例子

Struts2是一个非常流行的Java Web开发框架，它提供了一种优雅的方式来组织和控制MVC（模型-视图-控制器）应用程序。在处理表单提交时，为了防止重复提交或者跨站请求伪造（CSRF）攻击，Struts2引入了令牌机制。这个"struts2 令牌使用例子"是一个很好的实践教程，帮助开发者理解如何在实际应用中实施这一安全策略。 我们需要了解什么是CSRF攻击。这种攻击方式是恶意用户通过欺骗受害者的浏览器发送一个非本意的请求到服务器，比如在用户已经登录的情况下，攻击者可以构造一个带有非法操作的表单，诱导受害者点击，从而执行攻击者预设的动作。为了避免这种情况，Struts2引入了令牌机制。 令牌机制的工作原理是：在用户发起表单请求时，服务器会生成一个随机的、唯一的令牌，并将其存储在用户的会话（session）中，同时将该令牌作为隐藏字段包含在表单中。当用户提交表单时，服务器会验证提交的令牌是否与会话中的令牌匹配。如果不匹配或没有令牌，那么服务器会拒绝该请求，从而防止了重复提交和CSRF攻击。 在Struts2中，实现令牌机制主要有以下几个步骤： 1. **配置Struts2拦截器**：在struts.xml配置文件中，需要添加`token`和`tokenSession`拦截器到默认栈或自定义的拦截器栈中。`token`拦截器负责在表单中插入令牌，而`tokenSession`拦截器则负责验证令牌。 ```xml <interceptors> <interceptor-stack name="myDefaultStack"> <!-- ... --> <interceptor-ref name="token"> <param name="includeMethods">input,execute</param> </interceptor-ref> <interceptor-ref name="tokenSession"/> <!-- ... --> </interceptor-stack> </interceptors> ``` 2. **创建表单**：在JSP页面中，Struts2会自动在表单中添加一个隐藏的令牌字段。但你也可以手动添加，确保`name`属性为`_csrf_token`。 ```jsp <form action="submit.action" method="post"> <!-- 表单内容 --> <input type="hidden" name="_csrf_token" value="${sessionScope._csrf.token}" /> <input type="submit" value="提交" /> </form> ``` 3. **处理结果**：当用户提交表单后，服务器会检查令牌是否有效。如果验证失败，Struts2会将用户重定向到输入页面，并在模型中设置错误消息。开发者需要在Action类中处理这种情况，例如： ```java public class MyAction extends ActionSupport { private String token; // Getter and Setter for token @Override public String execute() throws Exception { if (hasToken()) { // 执行业务逻辑 return SUCCESS; } else { return INPUT; // 令牌无效，返回输入页面 } } public boolean hasToken() { return ActionContext.getContext().getSession().containsKey("_csrf"); } } ``` 4. **错误处理**：在JSP页面中，需要检查是否有令牌错误并显示相应提示。 ```jsp <%@ taglib prefix="s" uri="/struts-tags" %> <s:if test="hasActionErrors()"> <div class="error"> <s:actionerror/> </div> </s:if> ``` 通过以上步骤，我们就可以在Struts2应用中实现有效的令牌验证，保护用户免受CSRF攻击并防止重复提交。这个压缩包文件"token"很可能包含了完成以上步骤所需的示例代码，包括struts.xml配置文件、Action类、JSP页面等，对于初学者来说是一个很好的学习资源。深入理解并实践这个例子，将有助于提升你在Struts2应用安全方面的技能。