public class CSRFRequestDataValueProcessor implements RequestDataValueProcessor
{/**
* 重载方法
*
* @param request
* @param action
* @return
*/
@Override
public String processAction(HttpServletRequest request, String action)
{
return action;
}
/**
* 重载方法
*
* @param request
* @param name
* @param value
* @param type
* @return
*/
@Override
public String processFormFieldValue(HttpServletRequest request, String name, String value,
String type)
{
return value;
}
/**
* 重载方法
*
* @param request
* @return
*/
@Override
public Map<String, String> getExtraHiddenFields(HttpServletRequest request)
{
Map<String, String> hiddenFields = new HashMap<String, String>();
hiddenFields.put(CSRFTokenManager.CSRF_PARAM_NAME,
CSRFTokenManager.getTokenForSession(request.getSession()));
return hiddenFields;
}
/**
* 重载方法
*
* @param request
* @param url
* @return
*/
@Override
public String processUrl(HttpServletRequest request, String url)
{
return url;
}
}
public class CSRFHandlerInterceptor extends HandlerInterceptorAdapter
{
/**
* 重载方法
*
* @param request
* @param response
* @param handler
* @return
* @throws Exception
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
Object handler) throws Exception
{
if (!request.getMethod().equalsIgnoreCase("POST"))
{
// Not a POST - allow the request
return true;
}
else
{
// This is a POST request - need to check the CSRF token
String sessionToken = CSRFTokenManager.getTokenForSession(request.getSession());
String requestToken = CSRFTokenManager.getTokenFromRequest(request);
if (sessionToken.equals(requestToken))
{
return true;
}
else
{
response.sendError(HttpServletResponse.SC_FORBIDDEN, "Bad or missing CSRF value");
return false;
}
}
}
}
final class CSRFTokenManager
{
/**
* Token属性名称
*/
static final String CSRF_PARAM_NAME = "CSRF_SECURITY_TOKEN";
private final static String CSRF_TOKEN_FOR_SESSION_ATTR_NAME = CSRFTokenManager.class.getName()
+ ".tokenval";
private CSRFTokenManager()
{
}
/**
*
* 从Session中获取Token
*
* @author 曾云龙
* @version V001Z0001
* @date 2013-7-1
* @see [相关类/方法]
* @since [产品/模块版本]
*/
static String getTokenForSession(HttpSession httpSession)
{
String token = null;
synchronized (httpSession)
{
token = (String)httpSession.getAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME);
if (null == token)
{
token = UUID.randomUUID().toString();
httpSession.setAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME, token);
}
}
return token;
}
/**
*
* 从request中获取token
*
* @author 曾云龙
* @version V001Z0001
* @date 2013-7-1
* @see [相关类/方法]
* @since [产品/模块版本]
*/
static String getTokenFromRequest(HttpServletRequest request)
{
return request.getParameter(CSRF_PARAM_NAME);
}
}
相关推荐
spring-token 整合JWT,spring,springMVC,实现基于token验证 因为CSDN博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWT和spring...
token-springMVC 防止重复提交
spring security 全注解式的权限管理 动态配置权限,角色和资源,权限控制到按钮粒度 采用token进行权限校验,禁用session,未登录返回401,权限不足返回403 采用redis存储token及权限信息 内置功能: 用户管理...
该项目使用的技术:SpringSpring MVCMyBatis 3.4Spring-testJUnitRedisMySqlJWT配置数据库脚本:schema.sql 。根据需要更改 application.properties :# MySql 配置database.driver=...
spring boot 携带token登录,token拦截器,增删改查功能
spring-oauth-server 深度集成Spring Security和Oauth2 spring-oauth-server基于 ,但是我们做如下更有用的扩展拆分Spring MVC配置(wdcy-servlet.xml)和Oauth(security.xml)配置将Spring Security用户数据保存到...
本篇文章主要介绍了springMVC中基于token防止表单重复提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
5.1.3使用Spring MVC的AbstractSecurityWebApplicationInitializer 32 5.2 HttpSecurity 32 5.3 Java配置和表单登录 34 5.4授权请求 35 5.5处理注销 36 5.5.1 LogoutHandler 37 5.5.2 LogoutSuccessHandler 37 5.5.3...
will cover such topics like creating REST API using Spring MVC annotations, providing API documentation using Swagger2, and exposing health checks and metrics using Spring Boot Actuator endpoints. ...
J2eeFAST是一个Java EE企业级快速开发平台,基于经典技术组合(Spring Boot,Spring MVC,Apache Shiro,MyBatis-Plus,Freemarker,Bootstrap,AdminLTE)采用经典开发模式,让初学者能够Swift进行入门并从事在线...
spring mvc + jwt token 简单例子,正在搭建 希望对大家游泳
spring-webflux-安全性春假弹簧网启动项目在linux、macos终端执行 或者postman执行这面接口及参数curl -X POST \ ...,"userName": "username"},"dept": {"deptId": "deptid","deptName": "deptname
spring mvc swagger shiro oath2 整合, 认证 授权 code 获取 token。
1回顾Spring MVC的工作流程 2总结Spring MVC的数据绑定 3Spring定时器、拦截器的应用 4跟踪Spring源码,追踪解决问题 前后端分离开发 手把手演示如何串联React技术栈App和管理后台 让后台Form表单提交符合RESTful...
Spring MVC:利用Spring MVC框架实现项目的Web层管理,实现了前后端分离,提高了系统的可扩展性和性能。 Hibernate ORM:采用Hibernate框架实现对象关系映射,简化了数据持久化操作,提高了数据访问效率和可靠性。 ...
后端框架:选择JavaWeb框架,如Spring MVC、Struts等,用于实现后端业务逻辑。 前端框架:选择合适的前端框架,如Bootstrap、Semantic UI等,用于美化界面和提供良好的用户体验。 数据库:选择关系型数据库,如MySQL...
MVC做的, 后来开源出来,现在改成了最新的Spring Boot2.X 。经过大型社交网络系统的高并发场景的长期考验。说明了 jseckill能够支撑起大型互联网项目 为什么需要token机制来进行权限校验呢? 在分布式环境中,因为...
jwx是开源的java公众号开发MVC框架,基于spring配置文件和微信消息或事件注解,通过微信上下文处理一个或多个微信公众号服务请求。目的主要有两个,其一生封装微信请求xml消息为java实体对象,将返回对象转换为xml...
课程简介:本课程主要是跟各位...包括Spring Boot2.x、Spring MVC、Mybatis、加密解密算法AES、雪花算法Snowflake、统一验参工具ValidatorUtil、JWT(Json Web Token)、缓存中间件Redis、Shiro(身份认证与会话等等)、
Token避免了Session机制带来的海量信息存储问题,也避免了Cookie机制的一些安全性问题,在现代移动互联网场景、跨域访问等场景有广泛的用途。 也是目前最主流的客户信息的保留方式。 提示:IT是一个要多动手的职业,...