Struts/同期トークンで二度押しなどをチェックする のバックアップ(No.107)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ | ログイン ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Struts/同期トークンで二度押しなどをチェックする へ行く。
  • 1 (2011-11-21 (月) 06:52:38)
  • 2 (2011-12-17 (土) 00:59:21)
  • 3 (2011-12-19 (月) 04:56:52)
  • 4 (2011-12-27 (火) 07:25:24)
  • 5 (2012-01-05 (木) 05:25:34)
  • 6 (2012-01-12 (木) 09:33:01)
  • 7 (2012-01-24 (火) 06:39:37)
  • 8 (2012-02-09 (木) 08:09:42)
  • 9 (2012-02-24 (金) 11:23:51)
  • 10 (2012-02-29 (水) 06:33:50)
  • 11 (2012-03-05 (月) 08:30:28)
  • 12 (2012-03-15 (木) 07:55:16)
  • 13 (2012-03-22 (木) 02:44:09)
  • 14 (2012-05-27 (日) 10:05:11)
  • 15 (2012-06-08 (金) 04:22:06)
  • 16 (2012-06-20 (水) 08:59:33)
  • 17 (2012-07-09 (月) 09:29:07)
  • 18 (2012-07-16 (月) 01:44:20)
  • 19 (2012-07-17 (火) 04:51:09)
  • 20 (2012-07-19 (木) 00:09:52)
  • 21 (2012-08-30 (木) 02:13:49)
  • 22 (2012-08-30 (木) 05:46:53)
  • 23 (2012-09-13 (木) 09:44:11)
  • 24 (2012-09-21 (金) 04:33:42)
  • 25 (2012-10-09 (火) 01:37:56)
  • 26 (2012-11-08 (木) 02:34:25)
  • 27 (2012-11-15 (木) 01:51:49)
  • 28 (2012-12-25 (火) 11:30:53)
  • 29 (2013-02-12 (火) 06:04:25)
  • 30 (2013-04-24 (水) 02:51:52)
  • 31 (2013-05-26 (日) 05:02:10)
  • 32 (2013-06-04 (火) 09:21:55)
  • 33 (2013-08-12 (月) 04:41:59)
  • 34 (2013-09-03 (火) 01:55:54)
  • 35 (2013-10-31 (木) 05:29:22)
  • 36 (2013-11-20 (水) 05:35:20)
  • 37 (2013-11-29 (金) 01:41:34)
  • 38 (2014-02-13 (木) 13:20:11)
  • 39 (2014-04-09 (水) 10:03:13)
  • 40 (2014-04-14 (月) 09:40:49)
  • 41 (2014-04-16 (水) 01:54:37)
  • 42 (2014-06-05 (木) 04:12:44)
  • 43 (2014-06-20 (金) 10:12:13)
  • 44 (2014-06-27 (金) 04:03:04)
  • 45 (2014-10-03 (金) 04:38:00)
  • 46 (2014-11-26 (水) 05:12:53)
  • 47 (2015-01-30 (金) 00:12:15)
  • 48 (2015-02-06 (金) 02:31:50)
  • 49 (2015-02-14 (土) 07:35:22)
  • 50 (2015-02-25 (水) 06:46:53)
  • 51 (2015-06-09 (火) 07:34:58)
  • 52 (2015-07-15 (水) 00:13:52)
  • 53 (2015-08-10 (月) 06:24:53)
  • 54 (2015-08-10 (月) 10:17:19)
  • 55 (2015-08-20 (木) 01:39:37)
  • 56 (2015-09-18 (金) 08:30:32)
  • 57 (2015-09-29 (火) 02:02:46)
  • 58 (2015-11-09 (月) 02:21:51)
  • 59 (2015-12-03 (木) 08:03:32)
  • 60 (2016-01-15 (金) 04:13:09)
  • 61 (2016-01-17 (日) 09:38:19)
  • 62 (2016-01-20 (水) 02:28:27)
  • 63 (2016-02-23 (火) 01:13:51)
  • 64 (2016-03-03 (木) 06:20:53)
  • 65 (2016-03-28 (月) 02:43:27)
  • 66 (2016-04-05 (火) 02:53:08)
  • 67 (2016-04-18 (月) 06:12:08)
  • 68 (2016-04-26 (火) 01:50:21)
  • 69 (2016-06-07 (火) 07:53:17)
  • 70 (2016-06-08 (水) 10:38:34)
  • 71 (2016-07-19 (火) 07:35:30)
  • 72 (2016-07-21 (木) 02:02:18)
  • 73 (2016-08-30 (火) 05:09:26)
  • 74 (2016-09-19 (月) 20:11:02)
  • 75 (2016-09-27 (火) 02:57:37)
  • 76 (2016-10-25 (火) 04:36:48)
  • 77 (2016-11-09 (水) 05:42:25)
  • 78 (2016-12-13 (火) 07:49:00)
  • 79 (2016-12-17 (土) 08:23:12)
  • 80 (2016-12-18 (日) 07:56:35)
  • 81 (2016-12-25 (日) 15:39:26)
  • 82 (2017-01-11 (水) 06:39:04)
  • 83 (2017-02-22 (水) 06:02:46)
  • 84 (2017-04-20 (木) 12:56:36)
  • 85 (2017-06-30 (金) 02:30:54)
  • 86 (2017-10-27 (金) 04:51:04)
  • 87 (2017-10-31 (火) 01:44:09)
  • 88 (2017-11-28 (火) 04:30:10)
  • 89 (2017-11-29 (水) 01:38:48)
  • 90 (2017-12-06 (水) 04:57:14)
  • 91 (2017-12-14 (木) 02:43:07)
  • 92 (2017-12-17 (日) 13:34:15)
  • 93 (2017-12-18 (月) 01:36:12)
  • 94 (2017-12-21 (木) 05:29:43)
  • 95 (2018-01-29 (月) 02:16:43)
  • 96 (2018-03-15 (木) 02:07:44)
  • 97 (2018-05-07 (月) 03:33:00)
  • 98 (2018-06-11 (月) 16:36:29)
  • 99 (2019-05-20 (月) 11:56:20)
  • 100 (2019-06-19 (水) 13:42:37)
  • 101 (2019-06-28 (金) 13:16:51)
  • 102 (2019-07-05 (金) 14:11:38)
  • 103 (2019-07-22 (月) 17:14:21)
  • 104 (2019-07-26 (金) 18:05:08)
  • 105 (2019-08-07 (水) 13:37:32)
  • 106 (2019-09-06 (金) 17:05:27)
  • 107 (2019-10-01 (火) 14:32:10)
  • 108 (2019-11-08 (金) 14:41:45)
  • 109 (2019-12-21 (土) 16:46:24)
  • 110 (2020-06-15 (月) 10:30:08)
  • 111 (2020-06-25 (木) 00:14:25)
  • 112 (2020-06-26 (金) 16:52:02)
  • 113 (2020-06-30 (火) 18:56:02)
  • 114 (2020-07-21 (火) 11:15:41)
  • 115 (2020-09-30 (水) 11:54:25)
  • 116 (2021-09-13 (月) 15:17:05)
  • 117 (2021-12-01 (水) 14:01:03)
  • 118 (2021-12-18 (土) 11:27:34)
  • 119 (2022-05-27 (金) 12:06:57)
  • 120 (2022-07-20 (水) 00:26:53)

---

---

WEB開発で必ずついて回るのが、Submitボタン二度押しや戻るボタンを押されるなど、勝手な画面遷移をされないような配慮です。Strutsでは同期トークンという機能でこれらの考慮をサポートしてくれます。

実際にサンプルで、ある画面でSubmitを二度押ししたとき、それを検知して二つ目のリクエストをエラーではじくという事を考えてみます。

同期トークンとは †

同期トークンの機能とは以下の通りです。

1. あるアクションで、サーバ上でユニークなID(以下、トークン)を生成し、返却するhtmlにhidden等で仕込んでおく
2. そのアクションで、トークンはSessionにも格納しておく
3. 次のリクエストにはhidden内のトークンが飛んでくる
4. 次のアクションで、hiddenパラメタ内のトークンとSessionのトークンが等しいことを確認する
5. 等しければ、正しいリクエストということで処理する。Session内のトークンを新しいモノに書き換え、hiddenで返すトークンもその新しいモノにする。等しくなければ、正規のリクエストではないということで、エラー処理する。
6. 以下繰り返し。

この中で、トークンの生成、トークンチェック、hiddenにトークンを書き出す、などはStrutsが自動でやってくれますので、使う側はトークンをチェックするメソッドをアクションクラスに記述したり、エラー処理だけをやっておけばよいと言うことですね。ラクチンです。

やってみる †

流れ †

index.do -> IndexAction -> index.jsp -> double.do -> DoubleAction -> success.jsp

という流れのサンプルです。

ソース †

• IndexAction?

  public ActionForward execute(ActionMapping mapping, ActionForm form,
      HttpServletRequest request, HttpServletResponse response)
      throws Exception {
    saveToken(request);
    return mapping.findForward("success");
  }

• index.jsp

  <?xml version="1.0" encoding="UTF-8" ?>
  <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
  <%@ page language="java" contentType="text/html; charset=UTF-8" %>
  <%@ taglib uri="http://struts.apache.org/tags-bean" prefix="bean" %>
  <%@ taglib uri="http://struts.apache.org/tags-html" prefix="html" %>
  <%@ taglib uri="http://struts.apache.org/tags-logic" prefix="logic" %>
  
  <%@page import="org.apache.struts.Globals"%>
  <html:html xhtml="true" lang="true">
  <head>
  <title>同期トークンの稼動確認JSP</title>
  <meta http-equiv="Content-Type" content="application/xhtml+xml; charset=UTF-8" />
  <html:base />
  </head>
  <body>
  <html:form method="post" action="/double" >
    <html:submit />
  </html:form>
  <%=session.getAttribute(Globals.TRANSACTION_TOKEN_KEY) %>
  </body>
  </html:html>

• DoubleAction?

  public ActionForward execute(ActionMapping mapping, ActionForm form,
       HttpServletRequest request, HttpServletResponse response)
       throws Exception {
    ActionMessages errors = new ActionMessages();
    HttpSession session = request.getSession();
    boolean tokenValid = false;
    synchronized (session) {
      tokenValid = isTokenValid(request);
      saveToken(request);
    }
    if (!tokenValid) {
      StringBuffer buffer = new StringBuffer();
      buffer.append("tokenチェックエラー");
      errors.add(ActionMessages.GLOBAL_MESSAGE, new ActionMessage(
              new String(buffer), false));
      saveErrors(request, errors);
    }
  }

セッションにトークンをセット †

IndexAction?でSessionにトークンをセットしています。トークンを生成してSessionにセットするメソッドは

org.apache.struts.action.Action#saveToken

です*1*2。

JSPのhiddenにトークンをセット †

index.jspではformを使ってSubmitしていますが、出力されるhtmlには自動的にhiddenタグが挿入されます。具体的にはSubmitのformは

<html:form method="post" action="/double" >
  <html:submit />
</html:form>

としているだけなのですが出力されるhtmlは

<form id="hogeForm" method="post" action="/strutsExamples/double.do">
  <div><input type="hidden" name="org.apache.struts.taglib.html.TOKEN" 
         value="612326e14b3ce599284543e2246f170b" /></div>
  <input type="submit" value="Submit" />
</form>

となります。あるキー値でhiddenにトークンがセットされています*3。

次のリクエストで、サーバでトークンのチェック †

さてこれでsessionにトークンがセットされ、さらにhtmlのhiddenにトークンがセットされました。次のリクエストを受けるアクション(DoubleAction?)では

synchronized (session) {
    tokenValid = isTokenValid(request);
    saveToken(request);
}
if (!tokenValid) {
    StringBuffer buffer = new StringBuffer();
    buffer.append("tokenチェックエラー");
    errors.add(ActionMessages.GLOBAL_MESSAGE, new ActionMessage(
            new String(buffer), false));
    saveErrors(request, errors);
}

となっています。

isTokenValid(request);

がSessionのトークンとhiddenのトークンをチェックするメソッドです。で、次の

saveToken(request);

で再度トークンを書き換えています。

isTokenValid?(request)はスレッドセーフですが、トークンを変更するまでスレッドセーフでなくてはいけないので、sessionインスタンスのモニタを取得して処理しています*4。

Formでなく<html:link />の場合 †

上の例のように<html:form />タグの場合は自動でhiddenタグが挿入されトークンがPostされましたが、<html:link />タグなどの場合は

<html:link action="/double" transaction="true">リンク</html:link>

としてtransaction属性をtrueに指定します。transaction属性を指定すると

http://localhost:8080/strutsExamples/double.do
  ?org.apache.struts.taglib.html.TOKEN=f8e8901ab4cc126a148fe3d46d5596e7

とパラメタにトークンが設定されます。ちなみにこのtransaction属性はデフォルトはfalseなので、トークンを送信したい場合は明示的に指定してあげる必要があります。

サンプル。 †

• サンプルプログラム(ViewVC)
• サンプルプログラム(Subversion)

この記事は

選択肢	投票
おもしろかった	264
そうでもない	36

• その他のリンク系のタグは、rewriteタグがありますね。これもtransaction="true"をつけて制御します。 -- きの? 2008-01-27 (日) 00:39:44
• メイン画面と別にサブウィンドウでも更新する画面の場合ってトークンがずれてしまいますよね？ -- yama? 2011-03-02 (水) 13:07:06
• auztxyMoZWaQ -- dzpntfpgxt? 2012-07-16 (月) 10:44:19
• test1 -- test? 2015-07-15 (水) 09:11:21
• 初めまして。下記の場合はどのようにすれば良いのでしょうか？フォームから送信した人に、トークンで期間限定のリンクを自動生成して返信、期間内であれば指定したページが見れて、期間外であれば４０４ページが表示される、というようにしたいのですが、 -- masaya? 2016-09-20 (火) 04:58:48
• 初めまして。フォームから送信した人に、期間限定のリンクを自動生成して送信し、期間内であれば指定したページが見れて、期間外であれば４０４ページが表示される、というようにする場合はどのようにすれば良いでしょうか？ -- masa? 2016-09-20 (火) 05:04:49
• 初めまして。フォームから送信した人に、期間限定のリンクを自動生成して送信し、期間内であれば指定したページが見れて、期間外であれば４０４ページが表示される、というようにする場合はどのようにすれば良いでしょうか？ -- masa? 2016-09-20 (火) 05:06:35
• 初めまして。下記の場合はどのようにすれば良いのでしょうか？フォームから送信した人に、トークンで期間限定のリンクを自動生成して返信、期間内であれば指定したページが見れて、期間外であれば４０４ページが表示される、というようにしたいのですが、 -- masaya? 2016-09-20 (火) 05:08:31
• 初めまして。フォームから送信した人に、期間限定のリンクを自動生成して送信し、期間内であれば指定したページが見れて、期間外であれば４０４ページが表示される、というようにする場合はどのようにすれば良いでしょうか？ -- masa? 2016-12-18 (日) 16:53:53
• 初めまして。フォームから送信した人に、期間限定のリンクを自動生成して送信し、期間内であれば指定したページが見れて、期間外であれば４０４ページが表示される、というようにする場合はどのようにすれば良いでしょうか？ -- masa? 2016-12-18 (日) 16:54:04
• ds -- 2017-02-22 (水) 14:59:59
• ds -- ddd? 2017-02-22 (水) 15:00:15
• ああ -- 2018-03-15 (木) 11:05:11
• ああ -- 2018-03-15 (木) 11:05:11
• ああ -- ああ? 2018-03-15 (木) 11:05:14

お名前:

現在のアクセス:123609

---

*1 中ではsessionIdをMD5でハッシュして、更に現在時刻でハッシュしているみたいです
*2 Sessionにセットされるときのキー値は"org.apache.struts.action.TOKEN"です。この定数値はorg.apache.struts.Globals.TRANSACTION_TOKEN_KEYで取得可能です。
*3 hiddenの定数値"org.apache.struts.taglib.html.TOKEN" はorg.apache.struts.Globals.TOKEN_KEYで取得可能です。
*4 スレッドセーフなメソッドを用意しておいてくれてもいいような、、、

     

Site admin: Masatomi KINO

PukiWiki 1.5.1 © 2001-2016 PukiWiki Development Team. Powered by PHP 7.2.6. HTML convert time: 0.023 sec.