Spring MVC服务器端防止重复提交

最新推荐文章于 2022-11-07 15:50:19 发布
最新推荐文章于 2022-11-07 15:50:19 发布
阅读量370 收藏 2
点赞数
分类专栏: java web spring MVC 文章标签: 防止重复提交 防重复提交

Spring MVC服务器端防止重复提交

参考:http://blog.csdn.net/hw1287789687/article/details/51732373

之前参考 http://zhengyunfei.iteye.com/blog/2307443实现了功能

但是测试同学发现,打开两个待提交的页签时,提交其中一个一定会报错:



 

实现机制是使用token,简单说下:

(a)进入下单页,会生成一个token,同时存在两个地方:session(或redis也可以)和页面

(b)提交时,服务器接收到页面的token后,会和session中的token比较,相同则允许提交,同时删除session中的token;

(c)如果重复提交,则session中已经没有token(已被步骤b删除),那么校验不通过,则不会真正提交.

拦截器代码:

package com.chanjet.gov.filter;

import org.apache.log4j.Logger;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;
import java.util.UUID;

/**
 * Created by 黄威 on 9/20/16.<br >
 *     防止下单页重复提交
 */
public class RepeatTokenInterceptor  extends HandlerInterceptorAdapter {
    private static Logger log = Logger.getLogger(RepeatTokenInterceptor.class);
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            RepeatSubmitToken annotation = method.getAnnotation(RepeatSubmitToken.class);
            if (annotation != null) {
                boolean needSaveSession = annotation.save();
                if (needSaveSession) {
                    request.getSession(true).setAttribute("repeattoken", UUID.randomUUID().toString());
                }
                boolean needRemoveSession = annotation.remove();
                if (needRemoveSession) {
                    if (isRepeatSubmit(request)) {
                        log.warn("please don't repeat submit,url:" + request.getServletPath());
                        response.sendRedirect("/warn.html?code=repeatSubmitOrder&orgId="+request.getParameter("orgId"));
                        return false;
                    }
                    request.getSession(true).removeAttribute("repeattoken");
                }
            }
            return true;
        } else {
            return super.preHandle(request, response, handler);
        }
    }

    private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(true).getAttribute("repeattoken");
        if (serverToken == null) {
            return true;
        }
        String clinetToken = request.getParameter("repeattoken");
        if (clinetToken == null) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }
}

 

但是--

如果打开两个标签页,则这两个页面分别有一个token,并且是不同的(理论上是不同的),但是session中只有一份,

其中一个提交后,就会删除session中的token,那么另外一个页面提交时session中的token已为空,那么一定校验不通过.

根本原因:

在同一时刻,session中只存了一份token,而页面上可能有多个token(有n个页签,就会有n个不同的token).

 

既然找到了根本原因,那么也就自然而然产生了解决方案.

思路:session中不能只存储一份token,而是支持存储多个token

具体技术方案:

(1)每次进入下单页都会产生一个新的token,这个token都进入两个数据流:

--(a)传到页面,key是repeattoken

前端页面引用方式:

<input type="hidden" name="repeattoken" value="${Session.repeattoken!}" >

 

 

--(b)存储到session(现在是增量,不会把原来的token替换掉)

(2)存储到session中的key应该与页面的key区分开来,使用"tokenpool"

优化之后的过滤器:

package com.chanjet.gov.filter;

import com.chanjet.gov.util.StringUtil;
import org.apache.log4j.Logger;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.lang.reflect.Method;
import java.util.UUID;

/**
 * Created by 黄威 on 9/20/16.<br >
 *     防止下单页重复提交
 */
public class RepeatTokenInterceptor  extends HandlerInterceptorAdapter {
    /***
     * 用于前端页面接收服务器端的token
     */
    public static final String SESSION_KEY_REPEATTOKEN="repeattoken";
    /***
     * 用于session存储n个token
     */
    public static final String SESSION_KEY_REPEATTOKEN_POOL = "tokenpool";
    private static Logger log = Logger.getLogger(RepeatTokenInterceptor.class);

    private void addRepeatToken(HttpServletRequest request, HttpServletResponse response){
        HttpSession httpSession = request.getSession(true);
        String token = (String) httpSession.getAttribute(SESSION_KEY_REPEATTOKEN_POOL);
        System.out.println("addRepeatToken token:"+token);
        String createdToken = UUID.randomUUID().toString();
        httpSession.setAttribute(SESSION_KEY_REPEATTOKEN, createdToken);//给前端页面用的
        if(StringUtil.isNullOrEmpty(token)){
            httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, createdToken);
        }else{
            httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, createdToken + "###" + token);
        }
    }
    private void removeRepeatToken(HttpServletRequest request, HttpServletResponse response){
        HttpSession httpSession = request.getSession(true);
        String token = (String) httpSession.getAttribute(SESSION_KEY_REPEATTOKEN_POOL);
        System.out.println("removeRepeatToken token:"+token);
        if(!StringUtil.isNullOrEmpty(token)){
            String clientToken = (String) request.getParameter(SESSION_KEY_REPEATTOKEN);
            System.out.println("removeRepeatToken serverToken:"+clientToken);
            if (clientToken == null) {
                return;
            }
            token = token.replace(clientToken, "").replace("######", "###");
            System.out.println("token:"+token);
            httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, token);
        }
    }
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            RepeatSubmitToken annotation = method.getAnnotation(RepeatSubmitToken.class);
            if (annotation != null) {
                boolean needSaveSession = annotation.save();
                if (needSaveSession) {
                    addRepeatToken(request,response);
                }
                boolean needRemoveSession = annotation.remove();
                if (needRemoveSession) {
                    if (isRepeatSubmit(request)) {
                        log.warn("please don't repeat submit,url:" + request.getServletPath());
                        response.sendRedirect("/warn.html?code=repeatSubmitOrder&orgId="+request.getParameter("orgId"));
                        return false;
                    }
                    removeRepeatToken(request,response);
                }
            }
            return true;
        } else {
            return super.preHandle(request, response, handler);
        }
    }

    private boolean isRepeatSubmit(HttpServletRequest request) {
        //从池子里面获取token
        String serverToken = (String) request.getSession(true).getAttribute(SESSION_KEY_REPEATTOKEN_POOL);
        if (serverToken == null||"###".equals(serverToken)) {
            return true;
        }
        String clinetToken = request.getParameter(SESSION_KEY_REPEATTOKEN);//请求要素
        if (StringUtil.isNullOrEmpty(clinetToken)) {
            return true;
        }
        System.out.println("clinetToken:"+clinetToken);
        if (!serverToken.contains(clinetToken)) {
            return true;
        }
        return false;
    }
}

  日志:

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

removeRepeatToken token:c171f626-f218-4d19-bbb8-7aa209523c69###1b50afdf-df24-4553-89d2-701af06a431e

removeRepeatToken serverToken:1b50afdf-df24-4553-89d2-701af06a431e

token:c171f626-f218-4d19-bbb8-7aa209523c69###

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,379  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,546  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,751  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,919  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,129  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,370  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,476  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,703  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,874  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

submit

 

 

 

Spring MVC重复提交
chuluo6251的博客
06-16 63
如何在Spring MVC里面解决此问题(其它框架也一样,逻辑一样,思想一样,和具体框架没什么关系)。要解决重复提交,有很多办法,比如说在提交完成后redirect一下,也可以用本文提到的使用token的方法(我不使用redirect是因为那样解决不了ajax提交数据或者移动应用提交数据,另一...
Spring MVC防止数据重复提交
逍遥飞鹤的专栏
03-16 2154
这个Bug的具体情况是这样的,就是在上传视频后,会将数据提交到服务器,而当提交数据后点击浏览器的后退按扭,却又可以再次提交!这显示是不符合逻辑的,造成了数据重复提交。 好的,下面来讲一下如何在Spring MVC里面解决此问题(其它框架也一样,逻辑一样,思想一样,和具体框架没什么关系)。要解决重复提交,有很多办法,比如说在提交完成后redirect一下,也可以用本文提到的使用token的方法
springMvc 拦截器 防止重复提交
Yang_Hui_Liang的博客
01-24 579
1.DispatcherServlet SpringMVC具有统一的入口DispatcherServlet,所有的请求都通过DispatcherServlet。DispatcherServlet是前置控制器,配置在web.xml文件中的。拦截匹配的请求,Servlet拦截匹配规则要自已定义,把拦截下来的请求,依据XX规则分发到目Controller层来处理。 所以我们现在web.xml...
Spring MVC表单重复提交
茅坤宝骏氹的博客
05-04 350
转载自 Spring MVC表单重复提交利用Spring MVC的过滤器及token传递验证来实现表单重复提交。创建注解@Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface Token {    boolean create() default false;...
Spring mvc防止数据重复提交的方法
08-26
Spring MVC 防止数据重复提交的方法是使用 Token 机制来实现的,该机制通过在服务器端生成一个随机的 UUID,并将其存储在 Session 中,然后在客户端提交数据时带上该 UUID,服务器端在接收到该 UUID 后,对其进行...
springboot2.1+redis+拦截器 防止表单重复提交
10-05
在现代Web应用开发中,防止表单重复提交是一项重要的任务,因为这可能导致数据不一致性和服务器资源浪费。本文将深入探讨如何使用Spring Boot 2.1、Redis和拦截器来实现这一功能。以下是对这个主题的详细解释: ...
Java中防止Spring MVC重复表单提交的解决方案
资源摘要信息:"在Web开发中,防止重复提交表单是一个常见需求,特别是在使用Spring MVC框架时。重复提交可能会导致数据处理的冗余,比如在电商网站上,重复下单可能会导致库存减少,订单量增加,给商家和消费者造成...
token-springMVC 防止重复提交
08-01
Spring MVC框架中,防止重复提交是一个重要的议题,特别是在处理敏感数据或执行不可逆操作时。重复提交可能会导致数据不一致性和系统混乱。"Token-SpringMVC"是一种常见的解决方案,它利用令牌(Token)机制来确保...
详解spring mvc 请求转发和重定向
08-31
Spring MVC框架中,请求转发和...总的来说,请求转发通常用于在同一应用内部进行页面间的导航,而重定向则常用于外部链接、登录重定向或防止表单重复提交等情况。在实际开发中,开发者应根据具体需求选择合适的方法。
若依源码学习9:防止表单重复提交
小宇哥x的博客
04-12 5627
防止表单重复提交 1、自定义注解 @RepeatSubmit 通过自定义注解来标识哪些方法需要防止重复提交,比如下订单时保存订单数据只需要保存一次,但由于用户连续点击两次可能会造成多次保存,所以需要防止表单重复提交。 /** * 自定义注解防止表单重复提交 * */ @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface RepeatSubmit { // 因为只是做.
spring mvc 防止重复提交表单的两种方法,推荐第二种 转
01-02 436
第一种方法:判断session中保存的token 比较麻烦,每次在提交表单时都必须传入上次的token。而且当一个页面使用ajax时,多个表单提交就会有问题。 注解Token代码: package com.thinkgem.jeesite.common.repeat_form_valida...
Spring Boot 使用自定义注解实现防止表单重复提交
奋斗男孩的博客
11-07 1724
由于网速等原因造成页面卡顿,用户重复刷新提交页面,甚至会有黑客或恶意用户使用工具重复恶意提交表单来对网站进行攻击,所以说防止表单重复提交在 Web 应用中的重要性是极高的。本文中提到的方法只是众多方法中的一种,我个人也是通过这种方式来实现的防止表单重复提交。当然了,我们可以选择的办法有很多,比如采用 JS 禁用提交按钮、利用Session防止表单重复提交等等,最终如何选择还是要根据自己的应用和开发框架来决定,选择一个适合自己的方法才是最好的💪。在底层实现上,所有定义的注解都会自动继承。
Spring MVC防止数据重复提交防止二次提交
热门推荐
勤奋写代码的人
11-02 1万+
SpringMvc使用Token 使用token的逻辑是,给所有的url加一个拦截器,在拦截器里面用java的UUID生成一个随机的UUID并把这个UUID放到session里面,然后在浏览器做数据提交的时候将此UUID提交到服务器。服务器在接收到此UUID后,检查一下该UUID是否已经被提交,如果已经被提交,则不让逻辑继续执行下去…首先要定义一个annotation:@Target(Elemen
大聪明教你学Java | Spring Boot 使用自定义注解实现防止表单重复提交
程序员小明1024
10-05 471
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
Java进阶之Annotation(注解)——注解处理器
小小本科生成长之路
10-19 4234
如果没有用来读取注解的方法和工作,那么注解也就不会比注释更有用处了。使用注解的过程中,很重要的一部分就是创建于使用注解处理器。Java SE5扩展了反射机制的API,以帮助程序员快速的构造自定义注解处理器。 注解处理器类库(java.lang.reflect.AnnotatedElement):   Java使用Annotation接口来代表程序元素前面的注解,该接口是所有Annotation类
SpringMVC防止表单重复提交
桐花思雨
11-27 1804
目录前言 前言 在系统中,有些接口如果重复提交,可能会造成脏数据或者其他的严重的问题,所以我们一般会对与数据库有交互的接口进行重复处理 首先可以在前端做一层控制。当前端触发操作时,或弹出确认界面,或 disable 禁用按钮等等,但是这并不能彻底解决问题。假设我们不是从客户端提交,而是被其他的系统调用,还会遇到这种问题 为了彻底解决问题,还需要在后端对接口做重处理 一般会引起表单重复提交的场景 在网络延迟的情况下让用户有时间点击多次 submit 按钮导致表单重复提交 表单提交后用户点击【刷新】按钮
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值