Token实现防重放

最新推荐文章于 2025-03-29 08:45:03 发布
最新推荐文章于 2025-03-29 08:45:03 发布
阅读量7.9k 收藏 4
点赞数
分类专栏: java 安全 基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yu670538949/article/details/52678803
版权
本文介绍了使用Token防止请求重放的代码实现,包括Token类的设计和后台逻辑的校验方法,业务逻辑只需将请求传给TokenManager进行校验。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文主要内容是使用token防重放的代码实现。

1. Token类

package com.bean;

public class Token {
	public static final String DEFAULT_TOKEN_NAME = "token";
	
	private final String tokenName;

	private final String tokenValue;

	public Token(String tokenName,String tokenValue){
		this.tokenName = tokenName;
		this.tokenValue = tokenValue;
	}
	public String getTokenName() {
		return tokenName;
	}

	public String getTokenValue() {
		return tokenValue;
	}
}

2. TokenManager 

package com.util;

import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang.StringUtils;

import com.bean.Token;

public class TokenManager {

	public static final String SESSION_TOKEN_KEY = "$SESSIONTOKEN";
	 
	public static String generateToken(){
		return UUID.randomUUID().toString();
	}
	
	public static boolean validToken(HttpServletRequest httpServletRequest){
		HttpSession httpSession = httpServletRequest.getSession();
		Token token = (Token) httpSession.getAttribute(SESSION_TOKEN_KEY);
		httpSession.removeAttribute(SESSION_TOKEN_KEY);
		if(token==null){
			return false;
		}
		String reqToken = httpServletRequest.getParameter(token.getTokenName());
		if(StringUtils.isNotEmpty(reqToken)&&reqToken.equals(token.getTokenValue())){
			return true;
		}
		return false;
	}
}

3. TokenTag 

package com.tag;


import java.io.IOException;

import javax.servlet.jsp.JspException;
import javax.servlet.jsp.tagext.TagSupport;

import org.apache.commons.lang.StringUtils;

import com.bean.Token;
import com.util.TokenManager;

public class TokenTag extends TagSupport {
	private static final long serialVersionUID = 4596553712387968686L;

	private String tokenName;
	
	public String getTokenName() {
		return tokenName;
	}

	public void setTokenName(String tokenName) {
		this.tokenName = tokenName;
	}

	@Override
	public int doStartTag() throws JspException {
		try {
			pageContext.getOut().write(getTagBody());
		} catch (IOException e) {
			e.printStackTrace();
			throw new JspException(e.getMessage());
		}
		return SKIP_BODY;
	}
	
	private String getTagBody() {
		String tokenValue = getToken();
		if(StringUtils.isEmpty(tokenName)){
			tokenName=Token.DEFAULT_TOKEN_NAME;
		}
		pageContext.getSession().setAttribute(TokenManager.SESSION_TOKEN_KEY,
				new Token(tokenName, tokenValue));
		String inputToken = "<input type=\"hidden\" name = \""+tokenName+"\" value=\""+tokenValue+"\" />";
		return inputToken;
	}

	private String getToken() {
		return TokenManager.generateToken();
	}

	@Override
	public int doEndTag() throws JspException {
		return EVAL_PAGE;
	}
}
4.base.tld 
<?xml version="1.0" encoding="UTF-8"?>
<taglib xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/jsee/web-jsptagLibrary_2_0.xsd"
    version="2.0">
    <tlibversion>1.0</tlibversion>
    <shortname>Base Tag</shortname>

    <tag>
        <name>token</name>
        <tagclass>com.tag.TokenTag</tagclass>

        <bodycontent>empty</bodycontent>
        <attribute>
            <name>tokenName</name>
            <required>false</required>
            <rtexprvalue>true</rtexprvalue>
        </attribute>
    </tag>
</taglib>

5.在jsp页面中使用: 

  <form action="test" method="post">
<%--<base:token/>
    <base:token tokenName="testToken" /> --%>
    <base:token tokenName="<%=UUID.randomUUID().toString() %>" />
    <input type="submit" value="提交" />
  </form>

6. 后台逻辑校验Token

package com.servlet;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.util.TokenManager;

public class TestServlet  extends HttpServlet{
	private static final long serialVersionUID = 8421484630895424911L;

	@Override
	protected void doPost(HttpServletRequest req, HttpServletResponse resp)
			throws ServletException, IOException {
		System.out.println(TokenManager.validToken(req));
	}
}

该实现支持在jsp页面中不指定tokenName,指定tokenName,随机生成tokenName;

业务逻辑无需关心token的存储方式,如需校验,只需要把req传给TokenManager即可。








订单防重复提交:token 发放以及校验
Blue_Pepsi_Cola的博客
09-16 1325
在很多秒杀场景中,用户为了能下单成功,会频繁的点击下单按钮,这时候如果没有做好控制的话,就可能会给一个用户创建重复订单。
【安全编码】Web平台如何设计防止重放攻击
longxiaotian718的博客
12-25 1774
重放攻击(Replay Attack)是指攻击者通过重复或延迟传送合法数据包来实现欺骗或获取未经授权访问的行为。在Web环境中,重放攻击通常涉及截获和重新发送合法用户的请求,以冒充该用户进行操作。重放攻击的危害未经授权的访问:攻击者可以冒充合法用户访问敏感数据或功能。重复交易:金融交易或购买过程中被重复执行,导致经济损失。数据篡改:通过重放合法请求,攻击者可能篡改数据或状态。
接口增加token,避免接口重放遍历
吃个榴莲压压鲸的博客
09-15 442
通过异步请求获取服务端token,提交操作之前先获取tokentoken参数带入请求中(通常非查询操作都要增加token验证)。 说明:返回token的值保存在响应头文件中,前端从响应头中获取token值。 public class Function300000000 extends BaseFunction { @Override public Result execute() throws Exception { Result result=new Res
pikachu靶场——token防爆破
最新发布
_薛小薛_
03-29 744
所以,直接发送到intruder,payload username password 和 token,选择pitchfork爆破,前两个集采用正常字典爆破,先随便输入username和password,bp抓包,发现源码里面有token,重复两次提交后回显error,说明token的值是不断刷新的。第三个集要爆破token的值,现在我们先来到设置,下滑找到 检索-提取,点击添加,重新获取响应,找到token的值,选中并复制,然后点击确认。开始攻击,得到相应的值,爆破结束。
如何避免token被截获后的重放攻击(Java)
咘噜biu的博客
10-29 3125
token 加密,解密工具: package com.cloudstore.spider.store.feign; import lombok.AllArgsConstructor; import lombok.Data; import java.util.Base64; /** * @author visy.wang * @desc Token加密、解密工具 * @date 2020/10/29 15:26 */ public class TokenUtil { /** * 密码和.
jwt重放攻击_JWT+ASP.NET MVC 时间戳防止重放攻击
weixin_39525255的博客
12-19 167
时间戳作用客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。防篡改一般使用的方式就是把参数拼接,当前项目AppKey,双方约...
防止表单重复提交的方法(简单的token方式)
01-07
防止表单重复提交的方法(简单的token方式),内附实现代码及实现思路。
SpringBoot系列——防重放与操作幂等.doc
07-13
在日常开发中,我们经常会遇到需要防止重复提交和操作幂等的问题,本文将记录 SpringBoot 实现简单防重放与幂等的方法。 防重放是指防止数据重复提交,例如用户多次点击提交按钮或接口短时间内被多次调用。操作幂等...
【SSO单点登录】ticket+token+redis 实现sso单点登录 && 防重放、防盗用、防篡改
BASK2311的博客
11-06 3416
所以,重放攻击就是:黑客拦截了我们的请求,获得我们发给服务端的一个合法请求,然后重复的发送该合法请求,若该请求耗时过长,极端调用可能会搞崩我们的系统。
SpringBoot系列——防重放与操作幂等
2023年最新地推相关信息
04-10 849
 前言  日常开发中,我们可能会碰到需要进行防重放与操作幂等的业务,本文记录SpringBoot实现简单防重与幂等  防重放,防止数据重复提交  操作幂等性,多次执行所产生的影响均与一次执行的影响相同  解决什么问题?  表单重复提交,用户多次点击表单提交按钮  接口重复调用,接口短时间内被多次调用  思路如下:  1、前端页面表提交钮置灰不可点击+js节流防抖  2、Redis防重Token令牌...
防重放攻击实践
anlanba的博客
03-11 2741
曾今做API网关项目的时候,遇到过重放攻击,这是一种比较常见的攻击。那什么是重放攻击? 百度百科:重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重...
https能防重放吗_HTTPS如何防止重放攻击?
weixin_39588084的博客
01-14 2503
感谢应邀回到本行业的问题。在回答这个问题之前我感觉我们因该先了解一个HTTPS。HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。工作流程为:第一步:客户使用https的URL访...
https能防重放吗_HTTPS入门及如何防重放攻击
weixin_30478241的博客
01-14 1245
HTTPS入门HTTPS即在HTTP的基础上增加了SSL或TSL协议,其运行于会话层和表示层。SSL简介SSL(Secure Socket Layer安全套接层)以及其继承者TSL(Transport Layer Security 传输层安全)是为了网络通信安全 提供安全及数据完整性的一种安全协议。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协...
字节面试官:你觉得HTTPS能防止重放攻击吗?
m0_74530944的博客
04-07 978
Java架构学习技术内容包含有:Spring,Dubbo,MyBatis, RPC, 源码分析,高并发、高性能、分布式,性能优化,微服务 高级架构开发等等。还有Java核心知识点+全套架构师学习资料和视频+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试题+Spring源码合集+Java架构实战电子书+2021年最新大厂面试题。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!
JWT重放漏洞如何攻防?你的系统安全吗?
欢迎关注同名公众号,一起探索Java技术的奥秘,共同成长!
04-13 1376
JWT重放漏洞如何攻防?你的系统安全吗?
http证书摘要防重放
Wengzhengcun的博客
12-27 590
如果http的认证证书摘要是不变的,就存在被第三方截获http请求中的证书摘要后重放给服务的危险。解决办法是服务器发给客户端的401响应中带上一个随机数salt,这个salt必须保持一定的新鲜度,例如每个salt可以重用5次或者10秒,当然你也可以追求绝对的安全,从而每次都要使用一个新的salt,但这样性能未必达标,总之,要在性能和安全之间做好权衡。...
你觉得HTTPS能防止重放攻击吗?
ZERO
09-14 524
转载自:https://www.toutiao.com/a7005058608551477791/?log_from=b02638f28c684_1631533612740 正文 协议流程 我们先来回忆一下HTTPS的通信流程,HTTPS协议 = HTTP协议 + SSL/TLS协议,摘取一下网上一些八股文的回答(以RSA密钥交换的为例)! (1)客户端生成一个随机数client_random,TLS版本号,发送到服务端 (2)服务端发送自己的随机数server_random,服务器使用的证书,发送到客户
vue 如何防止xss攻击 框架_HTTPS如何防止重放攻击?
weixin_29635919的博客
12-21 556
关注后你就是我的人了HTTPS是否实现了Diffie–Hellman秘钥交互算法来防重放攻击?看了很多回答HTTPS原理的文章,都说HTTPS主要是通过RSA+AES来加密数据的,而这个AES秘钥是浏览器端随机生成的,是否是真的这样,如果是如何防止重复攻击?还是通过Diffie–Hellman来交换秘钥的?这个问题描述让人无法看懂,让我来帮助提问者理理思路。TLS握手协商阶段浏览器发送Client...
HTTPS防止重放攻击流程
小熊的博客
01-25 914
HTTPS防止重放攻击流程 引言 老规矩,先来一段面试情景再现~~ 某日,一求职者来到阿雄公司 (一阵项目介绍瞎扯……) 阿雄:"网络这块学的如何?" 求职者:"只懂一点开发中常用的HTTPS和HTTP协议!" (求职者内心:千万别深问啊,我只背了点八股文!) 阿雄:"那说一说HTTPS主流程什么样的?" 求职者:"懂的,懂的,客户端携带随机数…(省略1000字)…最后生成了对称密钥,客户端和服务端利用对称密钥进行通信!" 阿雄听到这里,嘴角VV一笑,心里想到这怎么听着这么像网上某某文章提到
防重放攻击实验
03-28
</think>### 防重放攻击实验设计与实现方法 #### 一、防重放攻击原理 重放攻击(Replay Attack)指攻击者截获合法通信数据包后重新发送以欺骗系统[^1]。防护核心在于**验证数据唯一性**和**时效性**,常用方法包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值