系列学习互联网安全架构第 2 篇 —— 防止表单重复提交方案(防止 API 接口幂等设计)

最新推荐文章于 2023-06-20 11:36:12 发布
最新推荐文章于 2023-06-20 11:36:12 发布
阅读量467 收藏 1
点赞数
分类专栏: 互联网安全架构 文章标签: 防止表单重复提交 API 幂等性设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BiandanLoveyou/article/details/117448829
版权

 

表单重复提交,是我们开发中经常遇到的一个问题。最简单的做法是让前端调用者去处理,但是一旦项目庞大,用户量增加的时候,或者网络延迟的情况,多次点击提交的情况,或者补偿重发接口等等,这种方式显然就不靠谱了。

防止 API 接口幂等设计

防止 API 接口幂等,就是为了解决 API 接口重复提交的问题。接下来模拟表单重复提交的场景。

 

先下载本次案例的脚手架代码:https://pan.baidu.com/s/1dLFNDaoGt60iRNne2vOXLQ  提取码:tygb

 

创建表:t_order

CREATE TABLE `t_order` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键ID',
  `product_name` varchar(255) DEFAULT NULL COMMENT '产品名称',
  `price` decimal(10,2) DEFAULT NULL COMMENT '价格',
  `order_no` varchar(64) DEFAULT NULL COMMENT '订单号',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8mb4 COMMENT='订单表';

脚手架代码主要按照常规的做法进行订单的提交。

启动服务,浏览器地址输入:http://127.0.0.1/

去数据库查看:

这是正常情况的提交。然后我们继续刷新页面。

又提交了一次表单,数据库查看:

如何解决表单重复提交?

解决思路:前端在提交表单前,先调用后台接口获取唯一的、临时的 token(后台生成 token,并存入缓存中,如 Redis,可以设置有效期为30分钟),拿到 token 并存入到头部信息 header,然后再提交表单。后台接收到表单提交的请求,先判断头部的 token 是否在缓存中,如果在缓存中,则继续处理业务逻辑(处理完业务后,必须删除掉缓存中的 token)。如果不存在缓存,说明无效或者重复提交。

OK,我们先创建生成 token 的工具类:

封装的 Redis 操作类:

package com.study.util;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;

import java.util.concurrent.TimeUnit;

/**
 * @author biandan
 * @description 封装的 Redis 操作类
 * @signature 让天下没有难写的代码
 * @create 2021-06-02 上午 11:46
 */
@Component
public class MyRedisTemplate {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    //设置 String 对象
    public Boolean setString(String key,Object data,Long timeout){
        if(data instanceof String){
            if(null != timeout){
                stringRedisTemplate.opsForValue().set(key,(String)data,timeout, TimeUnit.SECONDS);
            }else{
                stringRedisTemplate.opsForValue().set(key,(String)data);
            }
            return true;
        }else{
            return false;
        }
    }

    //获取 String 对象
    public Object getString(String key){
        return stringRedisTemplate.opsForValue().get(key);
    }

    //删除某个 key
    public void delKey(String key){
        stringRedisTemplate.delete(key);
    }

}

token 工具类:

package com.study.util;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

import java.util.Objects;
import java.util.UUID;

/**
 * @author biandan
 * @description 临时 token 的工具类
 * @signature 让天下没有难写的代码
 * @create 2021-06-02 上午 11:44
 */
@Component
public class TokenUtil {

    @Autowired
    private MyRedisTemplate myRedisTemplate;

    private static final Long TIMEOUT = 60 * 30L;

    //生成 token
    public String getToken() {
        String token = "token_" + UUID.randomUUID().toString().replaceAll("-","");
        myRedisTemplate.setString(token, token, TIMEOUT);
        return token;
    }

    //判断是否有 token
    public Boolean findToken(String tokenKey) {
        if(Objects.nonNull(myRedisTemplate.getString(tokenKey))){
            String token = (String)myRedisTemplate.getString(tokenKey);
            if(!StringUtils.isEmpty(token)){
                return true;
            }
        }
        return false;
    }

    //删除某个 key
    public void deleteKey(String key){
        myRedisTemplate.delKey(key);
    }

}

修改 OrderController,增加 getToken 接口,增加从 header 获取 token 参数,以及提交订单成功后,删除 token。

package com.study.controller;

import com.study.entity.OrderEntity;
import com.study.service.OrderService;
import com.study.util.TokenUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import java.text.SimpleDateFormat;
import java.util.Date;
import java.util.Random;

/**
 * @author biandan
 * @description
 * @signature 让天下没有难写的代码
 * @create 2021-06-01 下午 11:19
 */
@Controller
public class OrderController {

    private static final SimpleDateFormat SDF = new SimpleDateFormat("yyyyMMddHHmmss");

    @Autowired
    private OrderService orderService;

    @Autowired
    private TokenUtil tokenUtil;

    //新增订单
    @RequestMapping(value = "/addOrder",method = RequestMethod.POST)
    public ModelAndView index(HttpServletRequest request) {
        ModelAndView view = new ModelAndView();
        String productName = request.getParameter("productName");
        Float price = Float.parseFloat(request.getParameter("price"));

        String token = request.getHeader("token");
        if(StringUtils.isEmpty(token) || !tokenUtil.findToken(token)){
            view.setViewName("fail");
            return view;
        }

        OrderEntity orderEntity = new OrderEntity();
        orderEntity.setProductName(productName);
        orderEntity.setPrice(price);
        String orderNo = SDF.format(new Date())+ new Random().nextInt(1000);
        orderEntity.setOrderNo(orderNo);
        if(orderService.addOrder(orderEntity) > 0){
            view.setViewName("success");
            view.addObject("orderNo",orderNo);
            //删除 token
            tokenUtil.deleteKey(token);
        }else {
            view.setViewName("fail");
        }
        return view;
    }

    //获取token
    @RequestMapping(value = "/getToken",method = RequestMethod.GET)
    @ResponseBody
    public String getToken(){
        String token = tokenUtil.getToken();
        return token;
    }
}

重启服务,并启动 Redis,可以查看博客:https://blog.csdn.net/BiandanLoveyou/article/details/116422555

这次使用 postman 测试。

先获取 token

然后把 token 放到 header 中,请求新增订单接口。(注意把参数放到 Params 中)

如果我们点击再次提交,提示我们订单已经重复。

 

OK,解决表单重复提交的思路和方案大致为上面所说的。

但是有一个问题,如果每次请求都要判断是否有 token,代码就显得臃肿。我们在下一篇博客尝试着封装成一个注解,只需要在方法上增加注解,就可以自动判断 token 是否有效。

 

本篇博客代码:https://pan.baidu.com/s/1HkGWnhE_lsP3iZ2K5kMq3A   提取码:qs55

 

流放深圳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开放API接口签名验证,让你的接口从此不再裸奔
只有那些疯狂到认为自己可以改变世界的人,才可以真的改变世界
02-03 4万+
接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使
【防重】API接口重复提交
DreamSun的博客
04-20 1192
在一定的时间内多次请求同一接口,同一参数。由于请求是健康请求,会执行正常的业务逻辑,从而产生大量的废数据。
API网关】如何防止API相同的数据被提交多次
RestCloud 技术支持的博客
06-13 573
通过网关对API防止重复提交的规则,如物品的ID不可重复,则可配置该规则,当识别到ID被重复提交,返回提示信息。在后端API不具备幂等性的情况下,如何防止相同的数据被提交多次?1.打开API网关平台,安全设置,防重复提交配置。3.把应用的API添加进规则。2.添加防重复提交规则。
web api post防止重复提交_Spring Boot 如何防止重复提交
weixin_36281055的博客
02-03 529
在传统的web项目中,防止重复提交,通常做法是:后端生成一个唯一的提交令牌(uuid),并存储在服务端。页面提交请求携带这个提交令牌,后端验证并在第一次验证后删除该令牌,保证提交请求的唯一性。上述的思路其实没有问题的,但是需要前后端都稍加改动,如果在业务开发完在加这个的话,改动量未免有些大了,本节的实现方案无需前端配合,纯后端处理。思路1、自定义注解 @NoRepeatSubmit 标记所有Con...
API 接口应该如何设计?如何保证安全?如何签名?如何防重?
最新发布
竹林幽深
06-20 126
Token:访问令牌access token, 用于接口中,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key,key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。
自定义注解解决API接口幂等设计防止表单重复提交(生成token存放到redis中)
07-28
自定义封装注解类,(生成token存放到redis中)通过注解的方式解决API接口幂等设计防止表单重复提交
浅谈利用Session防止表单重复提交
08-28
主要介绍了浅谈利用Session防止表单重复提交,简单介绍表单重复提交的情况,分析,以及解决方法代码示例,具有一定借鉴价值,需要的朋友可以了解下。
PHP实现防止表单重复提交功能【基于token验证】
10-18
主要介绍了PHP实现防止表单重复提交功能,结合实例形式分析了php基于token验证防止表单重复提交的相关操作技巧,非常简单实用,需要的朋友可以参考下
详解struts2的token机制和cookie来防止表单重复提交
10-19
主要介绍了详解struts2的token机制和cookie来防止表单重复提交的相关资料,需要的朋友可以参考下
springMVC中基于token防止表单重复提交方法
08-29
文章主要介绍了springMVC中基于token防止表单重复提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【SpringBoot】之接口设计防篡改和防重放攻击
王廷云的博客
09-12 4853
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全防范;最后介绍了如何通过参数加密和签名校验的方式进行有效防范。
【干货】如何防止接口重复提交?(中)
SilverLong专栏
11-17 1167
在上一文章中,我们详细的介绍了对于下单流量不算高的系统,可以通过请求唯一ID+数据表增加唯一索引约束这种方案来实现防止接口重复提交!随着业务的快速增长,每一秒的下单请求次数,可能从几十上升到几百甚至几千。面对这种下单流量越来越高的场景,此时数据库的访问压力会急剧上升,上面这套方案全靠数据库来解决,会特别吃力!对于这样的场景,我们可以选择引入缓存中间件来解决,可选的组件有 redis、memcache 等。下面,我们以引入redis缓存数据库服务器,向大家介绍具体的解决方案
分布式场景下接口的限流、幂等防止重复提交
xzh_blog
11-22 925
@Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface Limiter { /** * 限制时间(秒) * * @return */ long limitTime() default 2L; /** * 限制后的返回内容 * * @return */ String
SpingBoot接口防止重复提交
txyllyyj的博客
05-30 1015
3.根据缓存键获取缓存中对象,如果存在,判断当前请求参数和上次请求参数是否相同,以及当前请求时间和上次请求时间相差是否在指定范围内,根据规则判断是否重复提交,如果是重复提交,直接返回错误信息。1.首先过滤器过滤http请求,重新组装为可重复读取的request流(由于需要从request流中读取body数据,而request流不能重复读取,所以需要创建一个可重复读取的流)2.拦截器拦截到注解标记的指定方法,获取方法请求url以及请求头组成一个缓存键,将请求时间和请求参数放到一个map中作为缓存值。
API接口重复提交
热门推荐
douxingpeng1的博客
08-15 1万+
重复提交的几种情况 1、利用JavaScript防止表单重复提交 按钮禁用 2、利用Session令牌防止表单重复提交 具体的做法:在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域中保存这个Token。然后将Token发送到客户端的Form表单中,在Form表单中使用隐藏域来存储这个Token,表单提交的时候连同这个Toke.........
防止接口请求重复提交
药岩
09-27 1482
自定义注解+AOP+Redis实现防止接口重复提交
重复提交方案
super_scan的专栏
05-07 446
一、背景由于某种原因(网络闪断、网速差、页面刷新、按钮双击等),客户端向服务器先后发送了多次相同的请求(本该只请求1次),如果后端不做处理可能造成1、重复数据、重复操作、重复扣款2、并发问...
前端怎么防止表单重复提交
05-13
前端可以通过以下几种方式来防止表单重复提交: 1. 禁用提交按钮:在表单提交后,禁用提交按钮,直到服务器返回响应。这样可以防止用户重复提交表单。 2. 增加 loading 动画:在表单提交后,增加 loading 动画,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值