文档章节

Spring MVC服务器端防止重复提交

s
 sthc4683
发布于 2016/10/14 11:20
字数 1073
阅读 13
收藏 0

实现机制是使用token,简单说下:

(a)进入下单页,会生成一个token,同时存在两个地方:session(或redis也可以)和页面

(b)提交时,服务器接收到页面的token后,会和session中的token比较,相同则允许提交,同时删除session中的token;

(c)如果重复提交,则session中已经没有token(已被步骤b删除),那么校验不通过,则不会真正提交.

拦截器代码: 下载 

Java代码

  1. package com.chanjet.gov.filter;  
  2.   
  3. import org.apache.log4j.Logger;  
  4. import org.springframework.web.method.HandlerMethod;  
  5. import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  
  6.   
  7. import javax.servlet.http.HttpServletRequest;  
  8. import javax.servlet.http.HttpServletResponse;  
  9. import java.lang.reflect.Method;  
  10. import java.util.UUID;  
  11.   
  12. /** 
  13.  * Created by 黄威 on 9/20/16.<br > 
  14.  *     防止下单页重复提交 
  15.  */  
  16. public class RepeatTokenInterceptor  extends HandlerInterceptorAdapter {  
  17.     private static Logger log = Logger.getLogger(RepeatTokenInterceptor.class);  
  18.     @Override  
  19.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  
  20.         if (handler instanceof HandlerMethod) {  
  21.             HandlerMethod handlerMethod = (HandlerMethod) handler;  
  22.             Method method = handlerMethod.getMethod();  
  23.             RepeatSubmitToken annotation = method.getAnnotation(RepeatSubmitToken.class);  
  24.             if (annotation != null) {  
  25.                 boolean needSaveSession = annotation.save();  
  26.                 if (needSaveSession) {  
  27.                     request.getSession(true).setAttribute("repeattoken", UUID.randomUUID().toString());  
  28.                 }  
  29.                 boolean needRemoveSession = annotation.remove();  
  30.                 if (needRemoveSession) {  
  31.                     if (isRepeatSubmit(request)) {  
  32.                         log.warn("please don't repeat submit,url:" + request.getServletPath());  
  33.                         response.sendRedirect("/warn.html?code=repeatSubmitOrder&orgId="+request.getParameter("orgId"));  
  34.                         return false;  
  35.                     }  
  36.                     request.getSession(true).removeAttribute("repeattoken");  
  37.                 }  
  38.             }  
  39.             return true;  
  40.         } else {  
  41.             return super.preHandle(request, response, handler);  
  42.         }  
  43.     }  
  44.   
  45.     private boolean isRepeatSubmit(HttpServletRequest request) {  
  46.         String serverToken = (String) request.getSession(true).getAttribute("repeattoken");  
  47.         if (serverToken == null) {  
  48.             return true;  
  49.         }  
  50.         String clinetToken = request.getParameter("repeattoken");  
  51.         if (clinetToken == null) {  
  52.             return true;  
  53.         }  
  54.         if (!serverToken.equals(clinetToken)) {  
  55.             return true;  
  56.         }  
  57.         return false;  
  58.     }  
  59. }  

 

但是--

如果打开两个标签页,则这两个页面分别有一个token,并且是不同的(理论上是不同的),但是session中只有一份,

其中一个提交后,就会删除session中的token,那么另外一个页面提交时session中的token已为空,那么一定校验不通过.

根本原因:

在同一时刻,session中只存了一份token,而页面上可能有多个token(有n个页签,就会有n个不同的token).

 

既然找到了根本原因,那么也就自然而然产生了解决方案.

思路:session中不能只存储一份token,而是支持存储多个token

具体技术方案: 下载 

(1)每次进入下单页都会产生一个新的token,这个token都进入两个数据流:

--(a)传到页面,key是repeattoken

前端页面引用方式: 下载 

Html代码

  1. <input type="hidden" name="repeattoken" value="${Session.repeattoken!}" >  

 

 

--(b)存储到session(现在是增量,不会把原来的token替换掉)

(2)存储到session中的key应该与页面的key区分开来,使用"tokenpool"

优化之后的过滤器: 下载 

Java代码

  1. package com.chanjet.gov.filter;  
  2.   
  3. import com.chanjet.gov.util.StringUtil;  
  4. import org.apache.log4j.Logger;  
  5. import org.springframework.web.method.HandlerMethod;  
  6. import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  
  7.   
  8. import javax.servlet.http.HttpServletRequest;  
  9. import javax.servlet.http.HttpServletResponse;  
  10. import javax.servlet.http.HttpSession;  
  11. import java.lang.reflect.Method;  
  12. import java.util.UUID;  
  13.   
  14. /** 
  15.  * Created by 黄威 on 9/20/16.<br > 
  16.  *     防止下单页重复提交 
  17.  */  
  18. public class RepeatTokenInterceptor  extends HandlerInterceptorAdapter {  
  19.     /*** 
  20.      * 用于前端页面接收服务器端的token 
  21.      */  
  22.     public static final String SESSION_KEY_REPEATTOKEN="repeattoken";  
  23.     /*** 
  24.      * 用于session存储n个token 
  25.      */  
  26.     public static final String SESSION_KEY_REPEATTOKEN_POOL = "tokenpool";  
  27.     private static Logger log = Logger.getLogger(RepeatTokenInterceptor.class);  
  28.   
  29.     private void addRepeatToken(HttpServletRequest request, HttpServletResponse response){  
  30.         HttpSession httpSession = request.getSession(true);  
  31.         String token = (String) httpSession.getAttribute(SESSION_KEY_REPEATTOKEN_POOL);  
  32.         System.out.println("addRepeatToken token:"+token);  
  33.         String createdToken = UUID.randomUUID().toString();  
  34.         httpSession.setAttribute(SESSION_KEY_REPEATTOKEN, createdToken);//给前端页面用的  
  35.         if(StringUtil.isNullOrEmpty(token)){  
  36.             httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, createdToken);  
  37.         }else{  
  38.             httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, createdToken + "###" + token);  
  39.         }  
  40.     }  
  41.     private void removeRepeatToken(HttpServletRequest request, HttpServletResponse response){  
  42.         HttpSession httpSession = request.getSession(true);  
  43.         String token = (String) httpSession.getAttribute(SESSION_KEY_REPEATTOKEN_POOL);  
  44.         System.out.println("removeRepeatToken token:"+token);  
  45.         if(!StringUtil.isNullOrEmpty(token)){  
  46.             String clientToken = (String) request.getParameter(SESSION_KEY_REPEATTOKEN);  
  47.             System.out.println("removeRepeatToken serverToken:"+clientToken);  
  48.             if (clientToken == null) {  
  49.                 return;  
  50.             }  
  51.             token = token.replace(clientToken, "").replace("######""###");  
  52.             System.out.println("token:"+token);  
  53.             httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, token);  
  54.         }  
  55.     }  
  56.     @Override  
  57.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  
  58.         if (handler instanceof HandlerMethod) {  
  59.             HandlerMethod handlerMethod = (HandlerMethod) handler;  
  60.             Method method = handlerMethod.getMethod();  
  61.             RepeatSubmitToken annotation = method.getAnnotation(RepeatSubmitToken.class);  
  62.             if (annotation != null) {  
  63.                 boolean needSaveSession = annotation.save();  
  64.                 if (needSaveSession) {  
  65.                     addRepeatToken(request,response);  
  66.                 }  
  67.                 boolean needRemoveSession = annotation.remove();  
  68.                 if (needRemoveSession) {  
  69.                     if (isRepeatSubmit(request)) {  
  70.                         log.warn("please don't repeat submit,url:" + request.getServletPath());  
  71.                         response.sendRedirect("/warn.html?code=repeatSubmitOrder&orgId="+request.getParameter("orgId"));  
  72.                         return false;  
  73.                     }  
  74.                     removeRepeatToken(request,response);  
  75.                 }  
  76.             }  
  77.             return true;  
  78.         } else {  
  79.             return super.preHandle(request, response, handler);  
  80.         }  
  81.     }  
  82.   
  83.     private boolean isRepeatSubmit(HttpServletRequest request) {  
  84.         //从池子里面获取token  
  85.         String serverToken = (String) request.getSession(true).getAttribute(SESSION_KEY_REPEATTOKEN_POOL);  
  86.         if (serverToken == null||"###".equals(serverToken)) {  
  87.             return true;  
  88.         }  
  89.         String clinetToken = request.getParameter(SESSION_KEY_REPEATTOKEN);//请求要素  
  90.         if (StringUtil.isNullOrEmpty(clinetToken)) {  
  91.             return true;  
  92.         }  
  93.         System.out.println("clinetToken:"+clinetToken);  
  94.         if (!serverToken.contains(clinetToken)) {  
  95.             return true;  
  96.         }  
  97.         return false;  
  98.     }  
  99. }  

  日志:

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

removeRepeatToken token:c171f626-f218-4d19-bbb8-7aa209523c69###1b50afdf-df24-4553-89d2-701af06a431e

removeRepeatToken serverToken:1b50afdf-df24-4553-89d2-701af06a431e

token:c171f626-f218-4d19-bbb8-7aa209523c69###

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,379  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,546  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,751  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,919  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,129  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,370  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,476  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,703  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,874  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

submit

© 著作权归作者所有

s
粉丝 0
博文 2
码字总数 1395
作品 0
济南
私信 提问
表单防重复提交

防止表单重复提交 介绍了使用 redirect 技术防止表单提交,但是 redirect 解决不了后退到表单页面时重复提交表单,为了解决这个问题,加入了 token 的机制。如果每个 form 相关的处理方法中都...

NotFoundException
2015/09/06
191
0
Spring MVC防止数据重复提交

要解决重复提交,有很多办法,比如说在提交完成后redirect一下,也可以用本文提到的使用token的方法(我不使用redirect是因为那样解决不了ajax提交数据或者移动应用提交数据,另一个原因是现...

Leons
2015/07/08
0
0
Spring MVC拦截器+注解方式实现防止表单重复提交多线程问题

最近要把系统重复提交的问题解决: 参考了比较普遍的2种方案: 1、前端通过cookie(变量)状态来控制; 2、通过后台状态控制 现在想用第二种方案来解决问题,但是参照了下面文章来处理;快速...

Doug
2016/03/04
318
0
SpringMVC 防止表单提交的解决方案

在平时开发中,如果网速比较慢的情况下, 用户提交表单后,发现服务器半天没有响应,用户可能以为是自己没有提交表单,就会再点击提交按钮重复提交表单,所以在开发中我们需要防止表单重复提交 1....

陈小扁
2016/04/22
254
0
Spring MVC拦截器+注解方式实现防止表单重复提交

原理:在新建页面中Session保存token随机码,当保存时验证,通过后删除,当再次点击保存时由于服务器端的Session中已经不存在了,所有无法验证通过。 拦截器TokenInterceptor代码: 然后在S...

cheese
2014/01/09
0
6

没有更多内容

加载失败,请刷新页面

加载更多

Angular 英雄编辑器

应用程序现在有了基本的标题。 接下来你要创建一个新的组件来显示英雄信息并且把这个组件放到应用程序的外壳里去。 创建英雄组件 使用 Angular CLI 创建一个名为 heroes 的新组件。 ng gener...

honeymoose
今天
5
0
Kernel DMA

为什么会有DMA(直接内存访问)?我们知道通常情况下,内存数据跟外设之间的通信是通过cpu来传递的。cpu运行io指令将数据从内存拷贝到外设的io端口,或者从外设的io端口拷贝到内存。由于外设...

yepanl
今天
6
0
hive

一、hive的定义: Hive是一个SQL解析引擎,将SQL语句转译成MR Job,然后再在Hadoop平台上运行,达到快速开发的目的 Hive中的表是纯逻辑表,就只是表的定义,即表的元数据。本质就是Hadoop的目...

霉男纸
今天
5
0
二、Spring Cloud—Eureka(Greenwich.SR1)

注:本系列文章所用工具及版本如下:开发工具(IDEA 2018.3.5),Spring Boot(2.1.3.RELEASE),Spring Cloud(Greenwich.SR1),Maven(3.6.0),JDK(1.8) Eureka: Eureka是Netflix开发...

倪伟伟
昨天
15
0
eclipse常用插件

amaterasUML https://takezoe.github.io/amateras-update-site/ https://github.com/takezoe/amateras-modeler modelGoon https://www.cnblogs.com/aademeng/articles/6890266.html......

大头鬼_yc
昨天
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部