springMVC中基于token防止表单重复提交

最新推荐文章于 2022-02-27 01:43:51 发布
最新推荐文章于 2022-02-27 01:43:51 发布
阅读量494 收藏 1
点赞数
分类专栏: spring-笔记

实现思路:

在springmvc配置文件中加入拦截器的配置,拦截两类请求,一类是到页面的,一类是提交表单的。当转到页面的请求到来时,生成token的名字和token值,一份放到Redis缓存中,一份放传给页面表单的隐藏域。(注:这里之所以使用redis缓存,是因为tomcat服务器是集群部署的,要保证token的存储介质是全局线程安全的,而redis是单线程的)

当表单请求提交时,拦截器得到参数中的tokenName和token,然后到缓存中去取token值,如果能匹配上,请求就通过,不能匹配上就不通过。这里的tokenName生成时也是随机的,每次请求都不一样。而从缓存中取token值时,会立即将其删除(删与读是原子的,无线程安全问题)。

实现方式:

TokenInterceptor.Java

package com.xxx.www.common.interceptor;  

import java.io.IOException;  
import java.util.HashMap;  
import java.util.Map;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
import org.apache.log4j.Logger;  
import org.springframework.beans.factory.annotation.Autowired;  
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  
import com.xxx.cache.redis.IRedisCacheClient;  
import com.xxx.common.utility.JsonUtil;  
import com.xxx.www.common.utils.TokenHelper;  

/** 
 *  
 * @see TokenHelper 
 */  
public class TokenInterceptor extends HandlerInterceptorAdapter  
{  

    private static Logger log = Logger.getLogger(TokenInterceptor.class);  
    private static Map<String , String> viewUrls = new HashMap<String , String>();  
    private static Map<String , String> actionUrls = new HashMap<String , String>();  
    private Object clock = new Object();  

    @Autowired  
    private IRedisCacheClient redisCacheClient;  
    static  
    {  
        viewUrls.put("/user/regc/brandregnamecard/", "GET");  
        viewUrls.put("/user/regc/regnamecard/", "GET");  

        actionUrls.put("/user/regc/brandregnamecard/", "POST");  
        actionUrls.put("/user/regc/regnamecard/", "POST");  
    }  
    {  
        TokenHelper.setRedisCacheClient(redisCacheClient);  
    }  

    /** 
     * 拦截方法,添加or验证token 
     */  
    @Override  
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception  
    {  
        String url = request.getRequestURI();  
        String method = request.getMethod();  
        if(viewUrls.keySet().contains(url) && ((viewUrls.get(url)) == null || viewUrls.get(url).equals(method)))  
        {  
            TokenHelper.setToken(request);  
            return true;  
        }  
        else if(actionUrls.keySet().contains(url) && ((actionUrls.get(url)) == null || actionUrls.get(url).equals(method)))  
        {  
            log.debug("Intercepting invocation to check for valid transaction token.");  
            return handleToken(request, response, handler);  
        }  
        return true;  
    }  

    protected boolean handleToken(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception  
    {  
        synchronized(clock)  
        {  
            if(!TokenHelper.validToken(request))  
            {  
                System.out.println("未通过验证...");  
                return handleInvalidToken(request, response, handler);  
            }  
        }  
        System.out.println("通过验证...");  
        return handleValidToken(request, response, handler);  
    }  

    /** 
     * 当出现一个非法令牌时调用 
     */  
    protected boolean handleInvalidToken(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception  
    {  
        Map<String , Object> data = new HashMap<String , Object>();  
        data.put("flag", 0);  
        data.put("msg", "请不要频繁操作!");  
        writeMessageUtf8(response, data);  
        return false;  
    }  

    /** 
     * 当发现一个合法令牌时调用. 
     */  
    protected boolean handleValidToken(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception  
    {  
        return true;  
    }  

    private void writeMessageUtf8(HttpServletResponse response, Map<String , Object> json) throws IOException  
    {  
        try  
        {  
            response.setCharacterEncoding("UTF-8");  
            response.getWriter().print(JsonUtil.toJson(json));  
        }  
        finally  
        {  
            response.getWriter().close();  
        }  
    }  

}

TokenHelper.java

package com.xxx.www.common.utils;  

import java.math.BigInteger;  
import java.util.Map;  
import java.util.Random;  
import javax.servlet.http.HttpServletRequest;  
import org.apache.log4j.Logger;  
import com.xxx.cache.redis.IRedisCacheClient;  

/** 
 * TokenHelper 
 *  
 */  
public class TokenHelper  
{  

    /** 
     * 保存token值的默认命名空间 
     */  
    public static final String TOKEN_NAMESPACE = "xxx.tokens";  

    /** 
     * 持有token名称的字段名 
     */  
    public static final String TOKEN_NAME_FIELD = "xxx.token.name";  
    private static final Logger LOG = Logger.getLogger(TokenHelper.class);  
    private static final Random RANDOM = new Random();  

    private static IRedisCacheClient redisCacheClient;// 缓存调用,代替session,支持分布式  

    public static void setRedisCacheClient(IRedisCacheClient redisCacheClient)  
    {  
        TokenHelper.redisCacheClient = redisCacheClient;  
    }  

    /** 
     * 使用随机字串作为token名字保存token 
     *  
     * @param request 
     * @return token 
     */  
    public static String setToken(HttpServletRequest request)  
    {  
        return setToken(request, generateGUID());  
    }  

    /** 
     * 使用给定的字串作为token名字保存token 
     *  
     * @param request 
     * @param tokenName 
     * @return token 
     */  
    private static String setToken(HttpServletRequest request, String tokenName)  
    {  
        String token = generateGUID();  
        setCacheToken(request, tokenName, token);  
        return token;  
    }  

    /** 
     * 保存一个给定名字和值的token 
     *  
     * @param request 
     * @param tokenName 
     * @param token 
     */  
    private static void setCacheToken(HttpServletRequest request, String tokenName, String token)  
    {  
        try  
        {  
            String tokenName0 = buildTokenCacheAttributeName(tokenName);  
            redisCacheClient.listLpush(tokenName0, token);  
            request.setAttribute(TOKEN_NAME_FIELD, tokenName);  
            request.setAttribute(tokenName, token);  
        }  
        catch(IllegalStateException e)  
        {  
            String msg = "Error creating HttpSession due response is commited to client. You can use the CreateSessionInterceptor or create the HttpSession from your action before the result is rendered to the client: " + e.getMessage();  
            LOG.error(msg, e);  
            throw new IllegalArgumentException(msg);  
        }  
    }  

    /** 
     * 构建一个基于token名字的带有命名空间为前缀的token名字 
     *  
     * @param tokenName 
     * @return the name space prefixed session token name 
     */  
    public static String buildTokenCacheAttributeName(String tokenName)  
    {  
        return TOKEN_NAMESPACE + "." + tokenName;  
    }  

    /** 
     * 从请求域中获取给定token名字的token值 
     *  
     * @param tokenName 
     * @return the token String or null, if the token could not be found 
     */  
    public static String getToken(HttpServletRequest request, String tokenName)  
    {  
        if(tokenName == null)  
        {  
            return null;  
        }  
        Map params = request.getParameterMap();  
        String[] tokens = (String[]) (String[]) params.get(tokenName);  
        String token;  
        if((tokens == null) || (tokens.length < 1))  
        {  
            LOG.warn("Could not find token mapped to token name " + tokenName);  
            return null;  
        }  

        token = tokens[0];  
        return token;  
    }  

    /** 
     * 从请求参数中获取token名字 
     *  
     * @return the token name found in the params, or null if it could not be found 
     */  
    public static String getTokenName(HttpServletRequest request)  
    {  
        Map params = request.getParameterMap();  

        if(!params.containsKey(TOKEN_NAME_FIELD))  
        {  
            LOG.warn("Could not find token name in params.");  
            return null;  
        }  

        String[] tokenNames = (String[]) params.get(TOKEN_NAME_FIELD);  
        String tokenName;  

        if((tokenNames == null) || (tokenNames.length < 1))  
        {  
            LOG.warn("Got a null or empty token name.");  
            return null;  
        }  

        tokenName = tokenNames[0];  

        return tokenName;  
    }  

    /** 
     * 验证当前请求参数中的token是否合法,如果合法的token出现就会删除它,它不会再次成功合法的token 
     *  
     * @return 验证结果 
     */  
    public static boolean validToken(HttpServletRequest request)  
    {  
        String tokenName = getTokenName(request);  

        if(tokenName == null)  
        {  
            LOG.debug("no token name found -> Invalid token ");  
            return false;  
        }  

        String token = getToken(request, tokenName);  

        if(token == null)  
        {  
            if(LOG.isDebugEnabled())  
            {  
                LOG.debug("no token found for token name " + tokenName + " -> Invalid token ");  
            }  
            return false;  
        }  

        String tokenCacheName = buildTokenCacheAttributeName(tokenName);  
        String cacheToken = redisCacheClient.listLpop(tokenCacheName);  

        if(!token.equals(cacheToken))  
        {  
            LOG.warn("xxx.internal.invalid.token Form token " + token + " does not match the session token " + cacheToken + ".");  
            return false;  
        }  

        // remove the token so it won't be used again  

        return true;  
    }  

    public static String generateGUID()  
    {  
        return new BigInteger(165,RANDOM).toString(36).toUpperCase();  
    }  

}

spring-mvc.xml

<!-- token拦截器-->  
    <bean id="tokenInterceptor" class="com.xxx.www.common.interceptor.TokenInterceptor"></bean>      
    <bean class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping">      
        <property name="interceptors">      
            <list>      
                <ref bean="tokenInterceptor"/>      
            </list>  
        </property>      
    </bean>

input.jsp 在form中加如下内容:

<input type="hidden" name="<%=request.getAttribute("xxx.token.name") %>" value="<%=token %>"/>  

<input type="hidden" name="xxx.token.name" value="<%=request.getAttribute("xxx.token.name") %>"/>

当前这里也可以用类似于struts2的自定义标签来做。

qq_641041990
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springmvc使用token防止表单重复提交
dukangcheng的博客
03-05 3911
今天在做注册页面的时候,碰到表单重复提交的问题。我就想到要使用模拟struts的令牌机制来防止表单重复提交。         具体的实现过程是这样的:应为springmvc的控制器控制着页面的跳转或者重定向,所以在跳转到注册页面的时候, 创建一个token使用的是当前事件的long类型数字标识,能在一定范围内标识当前的值唯一性(当然 你也可以使用其他的标识方法比如随机数、系统的当前时间等等
spring MVC 后台token重复提交
新方之玉的IT专栏
03-12 433
spring MVC 后台token重复提交解决方案 思路 1.添加拦截器,拦截需要防重复提交的请求 2.通过注解@Token来添加token/移除token 3.前端页面表单添加 &lt;input name='token' type='hiden'&gt; (如果是Ajax请求则需要在请求的json数据添加token值) 核心源码 拦截器...
springmvc自己实现的token表单重复提交,防止二次提交
徐小骥的博客
03-22 711
出处:http://www.oschina.net/code/snippet_100825_21906 一:首先创建一个token处理类  ,这里的类名叫 TokenHandler   private static Logger logger = Logger.getLogger(TokenHandler.class);       static Map springmvc_toke
SpringMVC token 防止表单重复提交,加上注释,帮助理解
a5601564的博客
09-10 3599
package com.framework.plugin.token; import java.lang.annotation.Retention; import java.lang.annotation.Target; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.ElementType;
spring mvc基于token防止重复提交验证
qq375688290的博客
12-17 742
spring mvc基于token防止重复提交验证 实现思路: 在springmvc配置文件加入拦截器的配置,拦截两类请求,一类是到页面的,一类是提交表单的。当转到页面的请求到来时,生成token的名字和token值,放入session,在页面表单的隐藏域显示。 当表单请求提交时,拦截器得到参数tokenName和token,然后到session去取token值,如果能匹
springMVC基于token防止表单重复提交方法
08-29
SpringMVC基于Token防止表单重复提交方法是指通过在SpringMVC配置文件添加拦截器配置,来拦截页面请求和表单提交请求,以防止表单重复提交。下面是该方法的实现思路和实现方式: 实现思路: 1. 在SpringMVC...
token-springMVC 防止重复提交
08-01
总的来说,"Token-SpringMVC"是Spring MVC框架防止重复提交的一种实用策略,它通过令牌验证确保了请求的唯一性,从而保护了系统的数据一致性。在实际开发,我们需要根据项目需求和安全级别来选择合适的防止重复...
Token验证表单重复提交
11-08
通过以上步骤,我们就成功地在SSM框架实现了基于Token表单重复提交验证。这种方法能够有效地防止由于网络延迟或其他原因导致的多次提交,确保了数据的一致性和安全性。需要注意的是,实际应用可能还需要考虑...
Servlet、Struts、SpringMVC对于表单重复提交的解决方案
04-09
2. **令牌(Token)机制**:生成一个唯一的令牌,将其隐藏在表单,当表单提交时,服务器验证该令牌是否有效。如果已处理过,则忽略请求。 3. **Redirect重定向**:处理完表单后,使用HttpServletResponse的`...
springMVC自定义防重复提交
05-26
- 在业务逻辑执行完毕后,需要清除sessiontoken防止因为浏览器回退导致的重复提交。这通常在控制器方法的最后执行,或者在拦截器的`postHandle()`或`afterCompletion()`方法完成。 5. **标签实现**: - ...
简单词法分析器,输出token和简单符号表
04-15
非常基础的词法分析器,能够将各个单词分开,判断各个单词的类型,并输出相应的tokens和符号表。还存在一些BUG,希望大家不吝赐教。
词法分析课程设计 (五种单词的符号表 TOKEN代码)
06-30
通过设计、编制、调试一个对于C语言词法的词法分析程序,加深对词法分析原理的理解,并实现输出单词序列的词法检查和分析。 自己设计出五种单词的符号表和对应的TOKEN代码,给出分析方法的思想,完成分析程序设计。编制好分析程序后,设计若干用例,上机测试并通过所设计的分析程序。
token的作用
yiXin_Chen的博客
02-27 7906
token是服务端生成的一串字符串, 充当客户端进行请求的一个令牌, 当第一次登录后, 服务器生成一个token, 将token返回客户端, 客户端存储token, 客户端只需带上token来请求数据即可, 服务端验证token并返回数据. token的作用: 1. 防止表单重复提交 客户端首次登录时, 调用后端代码, 后端生成一个token返回给客户端, 客户端存储token, 可以存在cookie 或者Local Storage(本地存储) ,客户端再次访问时, 将requesttoken
token详解以及应用原理
cmj6706的博客
01-11 2万+
一、我们先解释一下Token的含义1、Token的引入: Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。2、Token的定义: Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户
Token的作用及原理
0945v1
07-09 1万+
讲到Token的作用和原理,网上有很多相关的技术文章,通过搜集整理并加入自己的理解体会,做一个总结整理,希望可以帮助到更多有需要的人。 1、token作用及原理 Token,即令牌,是服务器产生的,具有随机性和不可预测性,它主要有两个作用: (1)防止表单重复提交; 使用Token表单重复提交步骤: ①在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域保存这个Token; ②将Token发送到客户端的Form表单,在Form表单使用隐藏域
Spring Boot + Token 实现接口幂等性 | 防止表单重复提交
骏马逸动,心随你动的博客
08-16 7300
一、概念 幂等性, 通俗的说就是一个接口, 多次发起同一个请求, 必须保证操作只能执行一次 比如: 订单接口, 不能多次创建订单 支付接口, 重复支付同一笔订单只能扣一次钱 支付宝回调接口, 可能会多次回调, 必须处理重复回调 普通表单提交接口, 因为网络超时等原因多次点击提交, 只能成功一次 等等 二、常见解决方案 唯一索引 -- 防止新增脏数...
springmvc如何防止表达重复提交
热门推荐
无意摘花
08-28 6万+
问题描述: 现在的
高并发重复请求的去重处理
cz_111的专栏
10-11 1万+
最近碰到一个重复提交请求,并能在数据库重复插入多条同样数据的问题。因为需求涉及到的是给用户发放购物卡,直接关系到的是金钱,所以是影响很大的一个问题,比如给一个用户发放100元一次,结果被某些居心不良之人抓到包,直接复制一百个请求,然后在执行就相当于给用户直接发放100元100次了,后果可想而知是非常严重的,所以必须的赶紧解决。       问题还原:在页面点击购物卡审核通过按钮,然后利用抓包工具
SpringMVC项目提交表单后405
最新发布
07-20
对于 SpringMVC 项目提交表单后出现 405 错误的问题,通常是由于请求方式不匹配导致的。HTTP 状态码 405 表示请求的 HTTP 方法不允许对指定的资源进行操作。 请确保您在表单提交时使用了正确的 HTTP 方法,例如使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值