struts token令牌机制

利用Struts同步令牌（Token）机制来解决Web应用中的重复提交问题。该方法的基本原理是：服务器端在处理到达的request之前，会将request中的Token值与保存在当前用户session中的令牌值进行比较，看是否匹配。在处理完该request后，且在response发送给客户端之前，将会产生一个新的 Token，该Token除传给客户端以外，也会将用户session中保存的旧的Token进行替换。这样，如果用户会退到刚才的提交页面并再次提交的话，客户端传过来的Token值和服务器端的不一致，从而有效地防止了重复提交地发生。

struts的Token机制实际上就是通过用户提交表单时，比较request中的请求参数“org.apache.struts.taglib.html.TOKEN”的值与当前会话中的属"org.apache.struts.action.TOKEN"的值是否相等，相等则是正常提交，不等则为重复提交。

下面我们看下一个完整的操作流程，这样便于理解:
   首先我们要明白，重复提交是发生在什么情况下的，什么情况下需要处理重复提交。我们所要解决的重复提交一般是考虑用户新插入一条记录的情形，对于修改记录的重复提交一般不考虑，因为修改记录本身记录就存在ID，重复提交也只不过是重复更新数据库同一记录而已，对数据的正确性不会有影响。如果新插入一条记录不对重复提交进行处理的话，那么就会在数据库中重复插入同一记录，这样会在数据库产生冗余的重复记录。当我们要插入一条记录时，会分二步走。第一步我们要打开新增记录的页面。第二步，我们会在打开的页面中填写相关信息，然后提交，这个时候提交才算完成。
第一步：假如我们打开新增记录这个操作由add方法完成，代码如下：
public ActionForward add(ActionMapping mapping, ActionForm form,
   HttpServletRequest request, HttpServletResponse response) { 
  this.saveToken(request);//这个方法就是产生令牌值，struts已有的方法 
  return mapping.findForward("add");//返回新增页面

}
通过调用saveToken(request)，产生一个token值。(注：每次调用saveToken方法产生的token值都不同)然后在记录新增页面中的<html:form>内部增加一个隐含表单字段，形式如下：
<div>

<input type="hidden" name="org.apache.struts.taglib.html.TOKEN"

value="8b2d950f23b02c527988a14171254025">

</div>
然后再把token值"8b2d950f23b02c527988a14171254025"保存到当前会话中，也就是 session.setAttribute( "org.apache.struts.action.TOKEN","8b2d950f23b02c527988a14171254025");

第二步：假如我们提交这个页面数据由save方法完成，代码如下：
public ActionForward save(ActionMapping mapping, ActionForm form,
   HttpServletRequest request, HttpServletResponse response) { 
  if (this.isTokenValid(request)) {//正常提交

this.resetToken(request);//清空当前会话中的token值

   return mapping.findForward("success");//返回保存成功页面
  } else {//重复提交   
   this.saveToken(request);//注：此方法在这里可要也可不要。  
   return mapping.findForward("fail");//返回重复提交提示信息页面
  }

}
判断是不是重复提交关键是isTokenValid(request)这个方法，这个方法由struts提供，如果返回结果为true则表示正常提交，false则为重复提交。isTokenValid(request)这个方法实际上主要做了三件事，
1.判断当前会话是否过期，如果过期，直接返回false
  HttpSession session = request.getSession(false);
        if (session == null) {
            return false;
        }
2.然后再判断当前会话中是否存在令牌属性"org.apache.struts.action.TOKEN"，如果不存在，返回false
  String saved =(String) session.getAttribute("org.apache.struts.action.TOKEN");
        if (saved == null) {
            return false;

}

为什么令牌属性"org.apache.struts.action.TOKEN"会不存在呢，那是因为当用户正常提交后，会调用this.resetToken(request);//清空当前会话中的token值。也就是说resetToken(request)方法中调用了 session.removeAttribute("org.apache.struts.action.TOKEN");

当用户重复提交时，我说了"this.saveToken(request);//此方法在这里可要也可不要。"，下面我们分

析下，如果不调用这个方法，会话中就不会再重新保存token值，那么再刷新的时候，session中的token
值总是为null,isTokenValid(request)直接返回false,如果调用this.saveToken(request)的话，

session中会重新添加token属性值。这个时候isTokenValid(request)会进行下面第三步的判断。
3.从当前会话中取得token的值与当前request中得到的token值比较，相同返回true,不同返回false
  String token = request.getParameter("org.apache.struts.taglib.html.TOKEN");
        if (token == null) {
            return false;

如果是重复刷新，那么每次request中的令牌值都是一样的，但每次刷新当前会话中的令牌值都被重新替换了，所以会返回false

注：使用struts的表单提交Token机制时，提交的表单一定要写成<html:form></html:form>这种形式，如果写成<form></form>这种形式的话，尽管调用saveToken(request)方法也不会在当前的<form></form>里面生成隐含表单，最终的结果都是"重复提交".