nablarch.common.web.token

クラス TokenUtil

java.lang.Object

nablarch.common.web.token.TokenUtil

public final class TokenUtil
extends java.lang.Object

トークンを使用した二重サブミットの防止機能のユーティリティ。 なお、トークンは ExecutionContext#getSessionScopeMap で獲得可能なMapではなく、 HttpSession に直接格納する。 これは、SessionConcurrentAccessHandler と併用した場合、トークンはリクエストスレッド毎の スナップショット上に保持されるので、本来エラーとなるタイミングでも並行実行されてしまう可能性 が発生するためである。

フィールドのサマリー

フィールド

修飾子とタイプ	フィールドと説明
static java.lang.String	KEY_HIDDEN_TOKEN トークンをhiddenタグに設定する際に使用するキー
static java.lang.String	KEY_REQUEST_TOKEN トークンをリクエストスコープに設定する際に使用するキー
static java.lang.String	KEY_SESSION_TOKEN トークンをセッションスコープに設定する際に使用するキー SessionConcurrentAccessHandler.handle(Object, ExecutionContext)にて、 このキーと同じ値をリテラルで使用しているので、キーの値を変更した場合は合わせて修正すること。

メソッドのサマリー

修飾子とタイプ	メソッドと説明
static java.lang.String	generateToken(javax.servlet.jsp.PageContext pageContext) トークンを生成し、セッションスコープに設定する。
static TokenGenerator	getTokenGenerator() TokenGeneratorをリポジトリから取得する。
static boolean	isValidToken(HttpRequest request, ExecutionContext context) リクエストパラメータのトークンが有効であるかを判定する。

クラスから継承されたメソッド java.lang.Object

clone, equals, finalize, getClass, hashCode, notify, notifyAll, toString, wait, wait, wait

フィールドの詳細

KEY_HIDDEN_TOKEN

public static final java.lang.String KEY_HIDDEN_TOKEN

トークンをhiddenタグに設定する際に使用するキー

関連項目:

定数フィールド値

KEY_REQUEST_TOKEN

public static final java.lang.String KEY_REQUEST_TOKEN

トークンをリクエストスコープに設定する際に使用するキー

関連項目:

定数フィールド値

KEY_SESSION_TOKEN

public static final java.lang.String KEY_SESSION_TOKEN

トークンをセッションスコープに設定する際に使用するキー

 SessionConcurrentAccessHandler.handle(Object, ExecutionContext)にて、
 このキーと同じ値をリテラルで使用しているので、キーの値を変更した場合は合わせて修正すること。
 リテラルを使用している理由は以下のとおり。
 ・SessionConcurrentAccessHandlerが行う同期化の対象から除外するため
 ・モジュールの依存関係から、このフィールドを直接参照できないため
 

関連項目:

定数フィールド値

メソッドの詳細

generateToken

public static java.lang.String generateToken(javax.servlet.jsp.PageContext pageContext)

トークンを生成し、セッションスコープに設定する。
トークンの生成は、リクエストスコープに対して一度だけ行い、リクエストスコープ内では一度生成したトークンを使いまわす。

パラメータ:

pageContext - ページコンテキスト

戻り値:

生成したトークン

getTokenGenerator

public static TokenGenerator getTokenGenerator()

TokenGeneratorをリポジトリから取得する。
リポジトリに存在しない場合はRandomTokenGeneratorを使用する。

戻り値:

TokenGenerator

isValidToken

public static boolean isValidToken(HttpRequest request,
                                   ExecutionContext context)
                            throws java.lang.ClassCastException

リクエストパラメータのトークンが有効であるかを判定する。 (注意) 本メソッドはVM単位での同期となる。 ただし、処理内容は軽微かつブロックするような箇所もないので、ボトルネックとなることは無い。

パラメータ:

request - リクエスト

context - コンテキスト

戻り値:

トークンが有効な場合はtrue、有効でない場合はfalse

例外:

java.lang.ClassCastException - Webコンテナ外で本メソッドが実行された場合。