Package nablarch.fw.web.handler

Class CsrfTokenVerificationHandler

java.lang.Object

nablarch.fw.web.handler.CsrfTokenVerificationHandler

All Implemented Interfaces:

Handler<HttpRequest,HttpResponse>, HttpRequestHandler

public class CsrfTokenVerificationHandler
extends Object
implements HttpRequestHandler

CSRFトークンの検証を行うハンドラ。

本ハンドラの処理は次の順番で行われる。

1. セッションストアからCSRFトークンを取得する
2. 取得できなかった場合はCSRFトークンを生成してセッションストアへ保存する
3. HTTPリクエストが検証対象かどうかを判定する
4. 検証対象の場合はHTTPリクエストヘッダ、またはHTTPリクエストパラメータからCSRFトークンを取得して検証を行う
5. 検証に失敗した場合はBadRequest(400)のレスポンスを返す
6. 検証に成功した場合は次のハンドラへ処理を移す

Author:

Uragami Taichi

Field Summary

Fields

Modifier and Type	Field	Description
static final String	REQUEST_REGENERATE_KEY	CSRFトークン再生成の要求を表す値をリクエストスコープに設定する際に使用するキー

Constructor Summary

Constructors

Constructor	Description
CsrfTokenVerificationHandler()

Method Summary

Modifier and Type	Method	Description
HttpResponse	handle(HttpRequest request, ExecutionContext context)	HTTPリクエストに対する処理を実行する。
void	setCsrfTokenGenerator(CsrfTokenGenerator csrfTokenGenerator)	CSRFトークンの生成を行うインターフェースを設定する。
void	setVerificationFailureHandler(VerificationFailureHandler verificationFailureHandler)	CSRFトークンの検証失敗時の処理を行うインタフェースを設定する。
void	setVerificationTargetMatcher(VerificationTargetMatcher verificationTargetMatcher)	HTTPリクエストがCSRFトークンの検証対象となるか判定を行うインターフェースを設定する。

Methods inherited from class java.lang.Object

clone, equals, finalize, getClass, hashCode, notify, notifyAll, toString, wait, wait, wait

Field Details

REQUEST_REGENERATE_KEY

public static final String REQUEST_REGENERATE_KEY

CSRFトークン再生成の要求を表す値をリクエストスコープに設定する際に使用するキー

See Also:

• Constant Field Values

Constructor Details

CsrfTokenVerificationHandler

public CsrfTokenVerificationHandler()

Method Details

handle

public HttpResponse handle(HttpRequest request,
 ExecutionContext context)

Description copied from interface: HttpRequestHandler

HTTPリクエストに対する処理を実行する。

Specified by:

handle in interface Handler<HttpRequest,HttpResponse>

Specified by:

handle in interface HttpRequestHandler

Parameters:

request - HTTPリクエストオブジェクト

context - サーバサイド実行コンテキストオブジェクト

Returns:

HTTPレスポンスオブジェクト

setCsrfTokenGenerator

public void setCsrfTokenGenerator(CsrfTokenGenerator csrfTokenGenerator)

CSRFトークンの生成を行うインターフェースを設定する。

Parameters:

csrfTokenGenerator - CSRFトークンの生成を行うインターフェース

setVerificationTargetMatcher

public void setVerificationTargetMatcher(VerificationTargetMatcher verificationTargetMatcher)

HTTPリクエストがCSRFトークンの検証対象となるか判定を行うインターフェースを設定する。

Parameters:

verificationTargetMatcher - HTTPリクエストがCSRFトークンの検証対象となるか判定を行うインターフェース

setVerificationFailureHandler

public void setVerificationFailureHandler(VerificationFailureHandler verificationFailureHandler)

CSRFトークンの検証失敗時の処理を行うインタフェースを設定する。

Parameters:

verificationFailureHandler - CSRFトークンの検証失敗時の処理を行うインタフェース