防重复提交专题系列3-3:springmvc下的基于token的防重复提交

前言

        今天发了三篇博客,咋一看这三篇博客毫无联系,网上很多博客也多是将这三篇博客作为三篇不同的主题发表。如果你不将这三篇博客联系起来看,就不能很透彻的防重复提交这个知识点,也不能学完整这个知识体系。为什么说这三篇文章要关联看,我在第三篇博客 springmvc下的基于token的防重复提交 里会阐述原因.下面要讲的三篇博客:

3 springmvc下的基于token的防重复提交:http://blog.csdn.net/wabiaozia/article/details/52065065
2 总结 XSS 与 CSRF 两种跨站攻击:http://blog.csdn.net/wabiaozia/article/details/52064849
1 外刊IT评论：防止表单重复提交的几种策略:http://blog.csdn.net/wabiaozia/article/details/52064772

由于"springmvc下的基于token的防重复提交"网上demo很多,我就不写了,直接拷来一篇。

正文

        原文出处:http://blog.csdn.net/mylovepan/article/details/38894941

问题描述：

现在的网站在注册步骤中，由于后台要处理大量信息，造成响应变慢（测试机器性能差也是造成变慢的一个因素），在前端页面提交信息之前，等待后端响应，此时如果用户
再点一次提交按钮，后台会保存多份用户信息。为解决此问题，借鉴了struts2的token思路，在springmvc下实现token。

实现思路：

在springmvc配置文件中加入拦截器的配置，拦截两类请求，一类是到页面的，一类是提交表单的。当转到页面的请求到来时，生成token的名字和token值，一份放到redis缓存中，一份放传给页面表单的隐藏域。（注：这里之所以使用redis缓存，是因为tomcat服务器是集群部署的，要保证token的存储介质是全局线程安全的，而redis是单线程的）

当表单请求提交时，拦截器得到参数中的tokenName和token，然后到缓存中去取token值，如果能匹配上，请求就通过，不能匹配上就不通过。这里的tokenName生成时也是随机的，每次请求都不一样。而从缓存中取token值时，会立即将其删除（删与读是原子的，无线程安全问题）。

实现方式：

TokenInterceptor.java

[java]  view plain   copy

 

1. package com.xxx.www.common.interceptor;  
2.   
3. import java.io.IOException;  
4. import java.util.HashMap;  
5. import java.util.Map;  
6. import javax.servlet.http.HttpServletRequest;  
7. import javax.servlet.http.HttpServletResponse;  
8. import org.apache.log4j.Logger;  
9. import org.springframework.beans.factory.annotation.Autowired;  
10. import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  
11. import com.xxx.cache.redis.IRedisCacheClient;  
12. import com.xxx.common.utility.JsonUtil;  
13. import com.xxx.www.common.utils.TokenHelper;  
14.   
15. /** 
16.  *  
17.  * @see TokenHelper 
18.  */  
19. public class TokenInterceptor extends HandlerInterceptorAdapter  
20. {  
21.       
22.     private static Logger log = Logger.getLogger(TokenInterceptor.class);  
23.     private static Map<String , String> viewUrls = new HashMap<String , String>();  
24.     private static Map<String , String> actionUrls = new HashMap<String , String>();  
25.     private Object clock = new Object();  
26.       
27.     @Autowired  
28.     private IRedisCacheClient redisCacheClient;  
29.     static  
30.     {  
31.         viewUrls.put("/user/regc/brandregnamecard/", "GET");  
32.         viewUrls.put("/user/regc/regnamecard/", "GET");  
33.           
34.         actionUrls.put("/user/regc/brandregnamecard/", "POST");  
35.         actionUrls.put("/user/regc/regnamecard/", "POST");  
36.     }  
37.     {  
38.         TokenHelper.setRedisCacheClient(redisCacheClient);  
39.     }  
40.       
41.     /** 
42.      * 拦截方法，添加or验证token 
43.      */  
44.     @Override  
45.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception  
46.     {  
47.         String url = request.getRequestURI();  
48.         String method = request.getMethod();  
49.         if(viewUrls.keySet().contains(url) && ((viewUrls.get(url)) == null || viewUrls.get(url).equals(method)))  
50.         {  
51.             TokenHelper.setToken(request);  
52.             return true;  
53.         }  
54.         else if(actionUrls.keySet().contains(url) && ((actionUrls.get(url)) == null || actionUrls.get(url).equals(method)))  
55.         {  
56.             log.debug("Intercepting invocation to check for valid transaction token.");  
57.