通过使用session以及在session中加入token,来验证同一个操作人员是否进行了并发重复的请求,在后一个请求到来时,使用session中的token验证请求中的token是否一致,当不一致时,被认为是重复提交,将不准许通过。
整个流程可以由如下流程来表述:
客户端申请token
服务器端生成token,并存放在session中,同时将token发送到客户端
客户端存储token,在请求提交时,同时发送token信息
服务器端统一拦截用户的所有请求,验证当前请求是否需要被验证(不是所有请求都验证重复提交)
验证session中token是否和用户请求中的token一致,如果一致则放行
session清除会话中的token,为下一次的token生成作准备
并发重复请求到来,验证token和请求token不一致,请求被拒绝
请求之前申请token,然后在真正请求时将token发送给服务端进行判断。例如,在加载这个页面时请求申请token,点击抢的按钮时,将token以参数的形式传给服务器端,进行判断。多次点击按钮后–并发请求,那么服务器端会拦截所有请求,进行token对比,由于第一次的请求通过后,session便清除了会话中的token,故再次对比即不同,便被拦截在外了。
由以上的流程,我们整个实现需要以下几个东西
token生成器,负责生成token
客户token请求处理action,负责处理客户请求,并返回token信息
token拦截器,用于拦截指定的请求是否需要验证token
token请求拦截标识,用于标识哪些请求是需要被拦截的
客户端token请求处理方法,用于请求token,并存放于特定操作中,并在提交时发送到请求中
token生成器
token生成器在这里使用了一个随机数来实现,即随机生成一个数字,即实现token生成,如下所示:
private static final Random random = new Random(System.currentTimeMillis());
public static final String TOKENPARAM = "session-token";
/** 生成一个token */
public static synchronized String generateToken(HttpSession session) {
String s = String.valueOf(random.nextLong());
session.setAttribute(TOKENPARAM, s);
return s;
}
token请求处理action
请求处理action,即接收相应的请求,然后直接返回相对应的token即可,如下即为一个为ajax请求生成token的处理action:
public String generateTokenAjax() {
String token = SessionTokenGenerator.generateToken(ServletActionContext.getRequest().getSession());
AjaxSupport.sendSuccessText(token);
return NONE;
}
token请求拦截标识
拦截标识,即表示哪些方法需要被拦截,这里可以使用注解来实现,即在要拦截的方法上追加类似@TokenNeed的注解,或者使用配置文件,将需要拦截的方法列表记录在配置文件中,在本文中,使用了一个配置文件来记录
token拦截器
token拦截器实现了我们所需要的拦截处理,在当碰到需要拦截的方法请求中,将同步进行token的判断和处理,并根据处理结果判断是否该继续放行或拦截之:
public String intercept(ActionInvocation invocation) throws Exception {
String action = invocation.getProxy().getAction().getClass().getName();
String method = invocation.getProxy().getMethod();
final HttpSession session = ServletActionContext.getRequest().getSession();
if(includeMethodSet.contains(action + "." + method)) {
synchronized(session) {
String paramSessionToken = ServletActionContext.getRequest().getParameter(SessionTokenGenerator.TOKENPARAM);
String sessionSessionToken = (String) session.getAttribute(SessionTokenGenerator.TOKENPARAM);
if(sessionSessionToken == null || paramSessionToken == null || !paramSessionToken.equals(sessionSessionToken))
return fail();
session.removeAttribute(SessionTokenGenerator.TOKENPARAM);
}
}
return invocation.invoke();
}