Action クラスに以下のメソッドが用意されていて、これで実現できるみたい。

saveToken : 現在のセッションでトークンを生成する
isTokenValid : リクエストに含まれるトークンが、現在のセッションで有効かどうかチェックする

詳細は API ドキュメントを。
http://struts.apache.org/development/1.x/struts-core/apidocs/org/apache/struts/action/Action.html

流れとしては、以下の感じになるのかなと思います。

1. saveToken でトークンを生成し、レスポンスで返すページに hidden タグに埋めておく
こんな感じで form タグの中に埋め込まれている

<form ・・・
<input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="54944837c1a762455568bd0a07077da3">
・・・
</form>

2. ユーザが form の情報をサブミットする。すると、hidden タグのトークンも一緒に送信される。
3. isTokenValid で、送信されたトークンが有効か否かチェックする

以上。