「Java」struts トークンチェック
Action クラスに以下のメソッドが用意されていて、これで実現できるみたい。
saveToken : 現在のセッションでトークンを生成する
isTokenValid : リクエストに含まれるトークンが、現在のセッションで有効かどうかチェックする
詳細は API ドキュメントを。
http://struts.apache.org/development/1.x/struts-core/apidocs/org/apache/struts/action/Action.html
流れとしては、以下の感じになるのかなと思います。
1. saveToken でトークンを生成し、レスポンスで返すページに hidden タグに埋めておく
こんな感じで form タグの中に埋め込まれている
<form ・・・ <input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="54944837c1a762455568bd0a07077da3"> ・・・ </form>
2. ユーザが form の情報をサブミットする。すると、hidden タグのトークンも一緒に送信される。
3. isTokenValid で、送信されたトークンが有効か否かチェックする
以上。