1、是什么?一个表单不能多次提交;
2、为什么? 在网络不好或者并发请求时会导致多次重复提交数据的问题。防止重复提交,可以维护数据一致性;
3、怎么做? 把 session的编号和当前时间戳经过 MD5 加密得到token并存入 session;更多token 介绍参见 https://blog.csdn.net/PacosonSWJTU/article/details/109958455
更多加密算法介绍(MD5, SHA, AES, DES ),参见 https://blog.csdn.net/PacosonSWJTU/article/details/109954811
【荔枝】转自 张孝祥
token 生成方式如下: (更加通用的方法是,把 用户名,密码当做加密源进行加密,得到摘要作为token)
/**
* 产生表单标识号并将之保存在当前用户Session中。
*
*@param request 封装当前请求消息的HttpServletRequest对象
*/
public synchronized void saveToken(HttpServletRequest request)
{
HttpSession session = request.getSession();
try
{
byte id[] = session.getId().getBytes();
long current = System.currentTimeMillis();
if (current == previous)
{
current++;
}
previous = current;
byte now[] = String.valueOf(current).getBytes();
// 基于MD5加密
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(id);
md.update(now);
String token = toHex(md.digest());
session.setAttribute(FORM_TOKEN_KEY, token);
}
catch (NoSuchAlgorithmException e)
{
;
}
}
生成表单的servlet,该表单会带上token; (有token,可以理解为已经登录了,登录信息加密为token令牌)
// 填写表单
public class FormGenerateServlet extends HttpServlet
{
public void service(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException
{
response.setContentType("text/html;charset=GB2312");
PrintWriter out = response.getWriter();
TokenProcessor.getInstance().saveToken(request);
String token = (String)request.getSession().getAttribute(
TokenProcessor.FORM_TOKEN_KEY);
out.println("<form action='FormDealServlet'" + "method='POST'>" +
"<input type='hidden' name='" + TokenProcessor.FORM_TOKEN_KEY +
"' value='" + token + "'>" +
"字段1:<input type='text' name='p1'><br>" +
"<input type='submit' value='提交'> " +
"</form>");
}
}
处理逻辑servlet DealServlet, 可以看到, 一旦提交成功, 该servlet 会把 token 从 会话移除, 防止二次提交;
// 表单处理逻辑 servlet
public class FormDealServlet extends HttpServlet
{
public void service(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException
{
response.setContentType("text/html;charset=GB2312");
PrintWriter out = response.getWriter();
TokenProcessor tokenProcessor = TokenProcessor.getInstance();
if(!tokenProcessor.isTokenValid(request))
{
out.println("这是重复或非法提交!");
return;
}
String p1 = request.getParameter("p1");
if(p1==null || p1.trim().equals(""))
{
out.println("请输入内容!");
}
else
{
out.println("提交内容已被处理!");
tokenProcessor.resetToken(request); // 一旦处理成功, 移除掉token ,防止2次重复提交
}
}
}
=========== TokenProcessor全部代码如下:
// token标识处理器
public class TokenProcessor
{
private long previous; //上次生成表单标识号的时间值
private static TokenProcessor instance = new TokenProcessor();
public static String FORM_TOKEN_KEY = "FORM_TOKEN_KEY";
private TokenProcessor()
{
}
public static TokenProcessor getInstance()
{
return instance;
}
/**
*验证请求消息中的标识号是否有效,如果请求消息中的表单标识号与当前
*用户的Session域中的表单标识号相同,返回结果为true,否则返回false。
*
*@param request 封装当前请求消息的HttpServletRequest对象
*/
public synchronized boolean isTokenValid(HttpServletRequest request)
{
/*为避免Session对象不存在时创建Session对象,
下面的语句不用request.getSession()*/
HttpSession session = request.getSession(false);
if (session == null)
{
return false;
}
String saved = (String) session.getAttribute(FORM_TOKEN_KEY);
if (saved == null)
{
return false;
}
String token = request.getParameter(FORM_TOKEN_KEY);
if (token == null)
{
return false;
}
return saved.equals(token);
}
/**
* 清除存储在当前用户Session中的表单标识号。
*
*@param request 封装当前请求消息的HttpServletRequest对象
*/
public synchronized void resetToken(HttpServletRequest request)
{
HttpSession session = request.getSession(false);
if (session == null)
{
return;
}
session.removeAttribute(FORM_TOKEN_KEY);
}
/**
* 产生表单标识号并将之保存在当前用户Session中。
*
*@param request 封装当前请求消息的HttpServletRequest对象
*/
public synchronized void saveToken(HttpServletRequest request)
{
HttpSession session = request.getSession();
try
{
byte id[] = session.getId().getBytes();
long current = System.currentTimeMillis();
if (current == previous)
{
current++;
}
previous = current;
byte now[] = String.valueOf(current).getBytes();
// 基于MD5加密
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(id);
md.update(now);
String token = toHex(md.digest());
session.setAttribute(FORM_TOKEN_KEY, token);
}
catch (NoSuchAlgorithmException e)
{
;
}
}
/**
* 将一个字节数组转换成十六进制的字符串形式返回。
* @param buffer 要被转换的字节数组
*/
private String toHex(byte buffer[])
{
StringBuffer sb = new StringBuffer(buffer.length * 2);
for (int i = 0; i < buffer.length; i++)
{
sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));
sb.append(Character.forDigit(buffer[i] & 0x0f, 16));
}
return sb.toString();
}
}
4、访问记录
步骤1,
步骤2,输入值,提交;
步骤3,刷新, (系统判定为重复提交,因为第2步,提交成功后, 系统移除了token )