spring mvc基于token防止重复提交验证
实现思路:
在springmvc配置文件中加入拦截器的配置,拦截两类请求,一类是到页面的,一类是提交表单的。当转到页面的请求到来时,生成token的名字和token值,放入session,在页面表单的隐藏域显示。
当表单请求提交时,拦截器得到参数中的tokenName和token,然后到session中去取token值,如果能匹配上,请求就通过,不能匹配上就不通过。这里的token生成时也是随机的,每次请求都不一样。而从session中取token值时,会立即将其删除(删与读是原子的,无线程安全问题)。
一、首先创建一个token处理类 ,这里的类名叫 TokenHandler
package com.base.utils;
import java.math.BigInteger;
import java.util.HashMap;
import java.util.Map;
import java.util.Random;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import org.apache.log4j.Logger;
/**
* 创建时间:2017年4月5日 下午5:56:31
* 项目名称:tra02
*
* @author hc
* @version 1.0
* 文件名称:TokenHandler.java
* 类说明:
*/
public class TokenHandler {
private static Logger logger = Logger.getLogger(TokenHandler.class);
static Map<String, String> springmvc_token = null;
// 生成一个唯一值的token
@SuppressWarnings("unchecked")
public synchronized static String generateGUID(HttpSession session) {
String token = "";
try {
Object obj = session.getAttribute("SPRINGMVC.TOKEN");
if (obj != null)
springmvc_token = (Map<String, String>) session.getAttribute("SPRINGMVC.TOKEN");
else
springmvc_token = new HashMap<String, String>();
token = new BigInteger(165, new Random()).toString(36).toUpperCase();
springmvc_token.put(Constants.DEFAULT_TOKEN_NAME + "." + token, token);
session.setAttribute("SPRINGMVC.TOKEN", springmvc_token);
Constants.TOKEN_VALUE = token;
// System.out.println(session.getAttribute("SPRINGMVC.TOKEN"));
} catch (IllegalStateException e) {
logger.error("generateGUID() mothod find bug,by token session...");
}
return token;
}
// 验证表单token值和session中的token值是否一致
@SuppressWarnings("unchecked")
public static boolean validToken(HttpServletRequest request) {
String inputToken = getInputToken(request);