验证码的工作原理

验证码通常在输入页面，主要是为了防止无聊人士通过循环提交攻击服务器

验证码的工作机制如下

step1）必须有个生成验证码的冬冬
1.1)验证码的显示
<img src="http://my.${constant.mainDomain}/images/validate.do" width="130" height="20">
1.2)验证码的产生
validate.do通常是个servlet,核心实现如下
public void service(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", 0);


HttpSession session = request.getSession();

//产生随机验证码
String validationcode = RandomCodeFactory.generate(4);

// 放入session
session.setAttribute("validationcode",validationcode);

//输出流生成图片
byte[] bytes = ImageGenerator.generateJPEGValidateCode(validationcode,100,20);
response.setContentType("images/jpg");
OutputStream output = response.getOutputStream();
output.write(bytes);
output.flush();
}

step2)action的实现

//片断1 检查验证码，错误则返回到错误页面通常还是本页
ActionContext context = ActionContext.getContext();
String sessionvalidationcode = (String) context.getSession().get(
"validationcode");
if ((validationcode == null)
|| (!validationcode.equals(sessionvalidationcode))) {
return "validate";
}

//。。。。。调用业务逻辑

//片断2 清除session,否则后有漏洞
context.getSession().remove("validationcode");

return Action.SUCCESS;

注意：
1）上面的代码在webwork中实现，webwork相关的代码你无需理会，理解过程完全可以用任何方式实现
2）上面的代码一看就有味道，仅仅为了演示而已。片断1和片断2完全可以放在一个拦截器中实现，这样可以将验证与action本身的冬冬解耦。