token:是一个由服务端随机生成的一个标识。
那我们怎么利用token来防止重复提交数据呢?
比如说:我们有三个controller方法:第一个是从主页跳转到用户管理页的userManger方法,然后是从用户管理页跳转到添加用户的
addUser方法,第三个是从接受表单页面提交数据的submitted方法,那我们思路可以分以下几步:
1、访问userManager方法的时候就在拦截器中随机生成一个token存入session中
2、在提交用户信息的页面获取session中的token然后和用户信息一起提交到服务器来
3、拦截器拿到表单提交的“token”和session中的“token”。对比,如果,相同说明是第一次访问,然后把session中的“token”删除,如果,此时刷新页面,再次提交数据,session中已经没有“token”了说明已经访问过。
大致思路就是这样,接下来我们需要自己写一个注解类Token,
@Target({ElementType.METHOD})//该注解用于方法上
@Retention(RetentionPolicy.RUNTIME)//使注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在;
public @interface Token {
boolean save() default false;
boolean remove() default false;
}
然后定义一个拦截器类,拦截带有@Token注解的方法,当Token(save=true)的时候后天将“token”存入session中,当Token(delete=true)的时候进入删除session的语句中
public class TokenInterceptor extends HandlerInterceptorAdapter
{
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
if (handler instanceof HandlerMethod){
HandlerMethod handlerMethod=(HandlerMethod) handler;
Method method=handlerMethod.getMethod();
Token annotation=method.getAnnotation(Token.class);
if(annotation!=null){
System.out.println("需要拦截");
// 有自己一拦截的注解说明该方法需要拦截
boolean savesession=annotation.save();
if(savesession){
System.out.println("token存入session");
request.getSession(false).setAttribute("token", UUID.randomUUID().toString());
}
boolean removesession=annotation.remove();
if(removesession){
if(isRepeatSubmit(request)){
response.sendRedirect("tokenerror");//拦截了之后跳转到错误页面
return false;
}
else{
System.out.println("删除session");
request.getSession(false).removeAttribute("token");
}
}
}
return true;
}else
return super.preHandle(request,response,handler);
}
private boolean isRepeatSubmit(HttpServletRequest request) {
String serverToken= (String) request.getSession(false).getAttribute("token");
if(serverToken==null){//说明session中的token已经被删除,不是第一次访问
return true;
}
String clienToken=request.getParameter("token");
System.out.println("serverToken"+serverToken);
System.out.println("clienToken"+clienToken);
if(clienToken==null){
return true;
}
if(!clienToken.equals(serverToken))
return true;
return false;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
super.postHandle(request, response, handler, modelAndView);
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
super.afterCompletion(request, response, handler, ex);
}
@Override
public void afterConcurrentHandlingStarted(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
super.afterConcurrentHandlingStarted(request, response, handler);
}
}
在springmvc.xml中配置拦截器,在beans标签内加入
<mvc:interceptor>
<!-- 要拦截的具体方法 /**全拦截-->
<mvc:mapping path="/**"/>
<!-- 配置拦截器对象-->
<bean id="tokenInterceptor" class="com.opp.interceptor.TokenInterceptor"></bean>
</mvc:interceptor>
</mvc:interceptors>
controller方法:
@Controller
public class TestController {
@RequestMapping("/userManager")
@Token(save = true)
public String userMange(){
return "addUser";
}
@RequestMapping("/addusername")
public String addUser(){
return "submitUser";
}
@RequestMapping("/submited")
@Token(remove = true)
public String submited(String str, Model model){
model.addAttribute("str",str);
System.out.println(str);
return "result";
}
@RequestMapping("tokenerror")
public String tokenerror(){
return "error";
}
}
效果: