安全令牌
2015-07-24 11:31
232 查看
1:为什么要有安全令牌?
我们在上网的时候,很多网页都会有一个信息,是否保存登录信息,以便下次可以直接登录而不必再次输入账户,密码等...而通常这样需要Cookie保存用户信息,当然,这个信息是加密信息,且一般都加了时间戳等验证信息的...
登陆时,读取cookie,解析cookie的信息,以及如时间戳等附加信息.如果没有时间戳...那么任何人只要有这个cookie,复制cookie到他的电脑中,然后登陆相同的页面,即便盗用者并不知 道用户的信息是什么,也能登陆...
所以,时间戳就类似我们所说的安全令牌.
http://blog.csdn.net/eclipser1987/article/details/5159106,看本文了解更多。说说STRUTS2中的令牌,STRUTS2中,token防止表单重复提交就是令牌机制的完美实现。
首先这个<s:token>在你编译的时候会生成一个hidden用来储存这个request的信息,在我们提交表单时,会在session中set一个16位UUID的的字符串,在第一次request经过拦截器的TokenInterceptor时,它会比较你的hidden中的与你的Session中的字符串是否一样,如果一样则通过验证,此时TokenInterceptor会重新生成一个16位UUID,set进session,进入Action,执行操作,当我们第二次request时,它会在比较是否相等,已验证重复提交。
我们在上网的时候,很多网页都会有一个信息,是否保存登录信息,以便下次可以直接登录而不必再次输入账户,密码等...而通常这样需要Cookie保存用户信息,当然,这个信息是加密信息,且一般都加了时间戳等验证信息的...
登陆时,读取cookie,解析cookie的信息,以及如时间戳等附加信息.如果没有时间戳...那么任何人只要有这个cookie,复制cookie到他的电脑中,然后登陆相同的页面,即便盗用者并不知 道用户的信息是什么,也能登陆...
所以,时间戳就类似我们所说的安全令牌.
http://blog.csdn.net/eclipser1987/article/details/5159106,看本文了解更多。说说STRUTS2中的令牌,STRUTS2中,token防止表单重复提交就是令牌机制的完美实现。
首先这个<s:token>在你编译的时候会生成一个hidden用来储存这个request的信息,在我们提交表单时,会在session中set一个16位UUID的的字符串,在第一次request经过拦截器的TokenInterceptor时,它会比较你的hidden中的与你的Session中的字符串是否一样,如果一样则通过验证,此时TokenInterceptor会重新生成一个16位UUID,set进session,进入Action,执行操作,当我们第二次request时,它会在比较是否相等,已验证重复提交。
相关文章推荐
- 九度 oj 1019
- 阿理云主机,跳转绑定二级域名
- nvl() 和nvl2()
- IFTTT开源Swift编写的帧动画框架--RazzleDazzle
- redis集群部署
- 侧滑菜单
- android - EventBus
- Codeforces Round #313 (Div. 2) 解题报告
- Java 8 Stream API详解
- CAVASS使用经验
- 安卓使用merge标签和include优化UI布局
- iOS 后台定位
- windows下的python和pip安装
- 详解Python的Django框架中的中间件
- Android 四大组件学习之ContentProvider三
- [转]谈谈数据库的ACID
- jquery控制button的禁用与解禁
- redis集群&主从部署
- Windows Server 2008 R2之六活动目录域服务的卸载
- iOS - 序