2.11 token验证

        针对CSRF跨站请求伪造,JFinal-layui主要是对添加、修改的业务表单加入token验证机制,这样就可以解决重要业务操作的安全性。我们的拦截是全局验证拦截,在开发功能过程中就是顺手做的事情,简单高效。

1、因为在后端统一对save()、update()进行了token认证拦截,所以在开发添加、修改功能过程中,记得在表单中输出token:#(token)

image.png


2、如果是其他的方法需要用到token认证,首先就要在进入页面的方法调用createToken(),然后在数据提交的方法上面调用@Before(TokenValidator.class),如修改密码表单的token认证实现如下:

        /**
         * 在页面方法创建token
         */
        public void myPassword(){	
		createToken();
		setAttr("userCode",getVisitor().getCode());
		render("my/password.html");
	}
	
	/**
	 * 修改个人密码(验证token)
	 */
	@Before(TokenValidator.class)
	public void updateMypassword(){
		Visitor vs=getVisitor();
		if(!vs.getCode().equals(getPara("userCode"))){		
			getResponse().setStatus(403);
			renderError(403);
		}
		String oldPassword=getPara("oldPassword");
		String newPassword=getPara("newPassword");
		try {
			 oldPassword=RSAKit.decryptionToString(oldPassword);
			 newPassword=RSAKit.decryptionToString(newPassword);
		} catch (Exception e) {
			handerException(e);
		}
		boolean b=service.updatePassword(vs.getCode(), newPassword, oldPassword);
		if(b){
			setAttr("msg", "密码修改成功");
		}else{
			createToken();
			setException("原密码错误,密码修改失败");
		}

		setAttr("userCode", vs.getCode());
		render("my/password.html");
	}

最后就是在修改密码页面的form表单输出token:

image.png


顶部 客服 微信二维码 底部
>扫描二维码关注最代码为好友
扫描二维码加琴海森林为好友