Spring MVC服务器端防止重复提交

最新推荐文章于 2023-05-17 19:00:48 发布
最新推荐文章于 2023-05-17 19:00:48 发布
阅读量878 收藏 2
点赞数 1
文章标签: druid springmvc mybatis bootstrap maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sthc4683/article/details/52814370
版权

实现机制是使用token,简单说下:

(a)进入下单页,会生成一个token,同时存在两个地方:session(或redis也可以)和页面

(b)提交时,服务器接收到页面的token后,会和session中的token比较,相同则允许提交,同时删除session中的token;

(c)如果重复提交,则session中已经没有token(已被步骤b删除),那么校验不通过,则不会真正提交.

拦截器代码:下载 

Java代码  
  1. package com.chanjet.gov.filter;  
  2.   
  3. import org.apache.log4j.Logger;  
  4. import org.springframework.web.method.HandlerMethod;  
  5. import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  
  6.   
  7. import javax.servlet.http.HttpServletRequest;  
  8. import javax.servlet.http.HttpServletResponse;  
  9. import java.lang.reflect.Method;  
  10. import java.util.UUID;  
  11.   
  12. /** 
  13.  * Created by 黄威 on 9/20/16.<br > 
  14.  *     防止下单页重复提交 
  15.  */  
  16. public class RepeatTokenInterceptor  extends HandlerInterceptorAdapter {  
  17.     private static Logger log = Logger.getLogger(RepeatTokenInterceptor.class);  
  18.     @Override  
  19.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  
  20.         if (handler instanceof HandlerMethod) {  
  21.             HandlerMethod handlerMethod = (HandlerMethod) handler;  
  22.             Method method = handlerMethod.getMethod();  
  23.             RepeatSubmitToken annotation = method.getAnnotation(RepeatSubmitToken.class);  
  24.             if (annotation != null) {  
  25.                 boolean needSaveSession = annotation.save();  
  26.                 if (needSaveSession) {  
  27.                     request.getSession(true).setAttribute("repeattoken", UUID.randomUUID().toString());  
  28.                 }  
  29.                 boolean needRemoveSession = annotation.remove();  
  30.                 if (needRemoveSession) {  
  31.                     if (isRepeatSubmit(request)) {  
  32.                         log.warn("please don't repeat submit,url:" + request.getServletPath());  
  33.                         response.sendRedirect("/warn.html?code=repeatSubmitOrder&orgId="+request.getParameter("orgId"));  
  34.                         return false;  
  35.                     }  
  36.                     request.getSession(true).removeAttribute("repeattoken");  
  37.                 }  
  38.             }  
  39.             return true;  
  40.         } else {  
  41.             return super.preHandle(request, response, handler);  
  42.         }  
  43.     }  
  44.   
  45.     private boolean isRepeatSubmit(HttpServletRequest request) {  
  46.         String serverToken = (String) request.getSession(true).getAttribute("repeattoken");  
  47.         if (serverToken == null) {  
  48.             return true;  
  49.         }  
  50.         String clinetToken = request.getParameter("repeattoken");  
  51.         if (clinetToken == null) {  
  52.             return true;  
  53.         }  
  54.         if (!serverToken.equals(clinetToken)) {  
  55.             return true;  
  56.         }  
  57.         return false;  
  58.     }  
  59. }  

 

但是--

如果打开两个标签页,则这两个页面分别有一个token,并且是不同的(理论上是不同的),但是session中只有一份,

其中一个提交后,就会删除session中的token,那么另外一个页面提交时session中的token已为空,那么一定校验不通过.

根本原因:

在同一时刻,session中只存了一份token,而页面上可能有多个token(有n个页签,就会有n个不同的token).

 

既然找到了根本原因,那么也就自然而然产生了解决方案.

思路:session中不能只存储一份token,而是支持存储多个token

具体技术方案:下载 

(1)每次进入下单页都会产生一个新的token,这个token都进入两个数据流:

--(a)传到页面,key是repeattoken

前端页面引用方式:

Html代码  
  1. <input type="hidden" name="repeattoken" value="${Session.repeattoken!}" >  

 

 

--(b)存储到session(现在是增量,不会把原来的token替换掉)

(2)存储到session中的key应该与页面的key区分开来,使用"tokenpool"

优化之后的过滤器:下载 

Java代码  
  1. package com.chanjet.gov.filter;  
  2.   
  3. import com.chanjet.gov.util.StringUtil;  
  4. import org.apache.log4j.Logger;  
  5. import org.springframework.web.method.HandlerMethod;  
  6. import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  
  7.   
  8. import javax.servlet.http.HttpServletRequest;  
  9. import javax.servlet.http.HttpServletResponse;  
  10. import javax.servlet.http.HttpSession;  
  11. import java.lang.reflect.Method;  
  12. import java.util.UUID;  
  13.   
  14. /** 
  15.  * Created by 黄威 on 9/20/16.<br > 
  16.  *     防止下单页重复提交 
  17.  */  
  18. public class RepeatTokenInterceptor  extends HandlerInterceptorAdapter {  
  19.     /*** 
  20.      * 用于前端页面接收服务器端的token 
  21.      */  
  22.     public static final String SESSION_KEY_REPEATTOKEN="repeattoken";  
  23.     /*** 
  24.      * 用于session存储n个token 
  25.      */  
  26.     public static final String SESSION_KEY_REPEATTOKEN_POOL = "tokenpool";  
  27.     private static Logger log = Logger.getLogger(RepeatTokenInterceptor.class);  
  28.   
  29.     private void addRepeatToken(HttpServletRequest request, HttpServletResponse response){  
  30.         HttpSession httpSession = request.getSession(true);  
  31.         String token = (String) httpSession.getAttribute(SESSION_KEY_REPEATTOKEN_POOL);  
  32.         System.out.println("addRepeatToken token:"+token);  
  33.         String createdToken = UUID.randomUUID().toString();  
  34.         httpSession.setAttribute(SESSION_KEY_REPEATTOKEN, createdToken);//给前端页面用的  
  35.         if(StringUtil.isNullOrEmpty(token)){  
  36.             httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, createdToken);  
  37.         }else{  
  38.             httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, createdToken + "###" + token);  
  39.         }  
  40.     }  
  41.     private void removeRepeatToken(HttpServletRequest request, HttpServletResponse response){  
  42.         HttpSession httpSession = request.getSession(true);  
  43.         String token = (String) httpSession.getAttribute(SESSION_KEY_REPEATTOKEN_POOL);  
  44.         System.out.println("removeRepeatToken token:"+token);  
  45.         if(!StringUtil.isNullOrEmpty(token)){  
  46.             String clientToken = (String) request.getParameter(SESSION_KEY_REPEATTOKEN);  
  47.             System.out.println("removeRepeatToken serverToken:"+clientToken);  
  48.             if (clientToken == null) {  
  49.                 return;  
  50.             }  
  51.             token = token.replace(clientToken, "").replace("######""###");  
  52.             System.out.println("token:"+token);  
  53.             httpSession.setAttribute(SESSION_KEY_REPEATTOKEN_POOL, token);  
  54.         }  
  55.     }  
  56.     @Override  
  57.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  
  58.         if (handler instanceof HandlerMethod) {  
  59.             HandlerMethod handlerMethod = (HandlerMethod) handler;  
  60.             Method method = handlerMethod.getMethod();  
  61.             RepeatSubmitToken annotation = method.getAnnotation(RepeatSubmitToken.class);  
  62.             if (annotation != null) {  
  63.                 boolean needSaveSession = annotation.save();  
  64.                 if (needSaveSession) {  
  65.                     addRepeatToken(request,response);  
  66.                 }  
  67.                 boolean needRemoveSession = annotation.remove();  
  68.                 if (needRemoveSession) {  
  69.                     if (isRepeatSubmit(request)) {  
  70.                         log.warn("please don't repeat submit,url:" + request.getServletPath());  
  71.                         response.sendRedirect("/warn.html?code=repeatSubmitOrder&orgId="+request.getParameter("orgId"));  
  72.                         return false;  
  73.                     }  
  74.                     removeRepeatToken(request,response);  
  75.                 }  
  76.             }  
  77.             return true;  
  78.         } else {  
  79.             return super.preHandle(request, response, handler);  
  80.         }  
  81.     }  
  82.   
  83.     private boolean isRepeatSubmit(HttpServletRequest request) {  
  84.         //从池子里面获取token  
  85.         String serverToken = (String) request.getSession(true).getAttribute(SESSION_KEY_REPEATTOKEN_POOL);  
  86.         if (serverToken == null||"###".equals(serverToken)) {  
  87.             return true;  
  88.         }  
  89.         String clinetToken = request.getParameter(SESSION_KEY_REPEATTOKEN);//请求要素  
  90.         if (StringUtil.isNullOrEmpty(clinetToken)) {  
  91.             return true;  
  92.         }  
  93.         System.out.println("clinetToken:"+clinetToken);  
  94.         if (!serverToken.contains(clinetToken)) {  
  95.             return true;  
  96.         }  
  97.         return false;  
  98.     }  
  99. }  

  日志:

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

removeRepeatToken token:c171f626-f218-4d19-bbb8-7aa209523c69###1b50afdf-df24-4553-89d2-701af06a431e

removeRepeatToken serverToken:1b50afdf-df24-4553-89d2-701af06a431e

token:c171f626-f218-4d19-bbb8-7aa209523c69###

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,379  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,546  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,751  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:03,919  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,129  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,370  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,476  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,703  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

clinetToken:1b50afdf-df24-4553-89d2-701af06a431e

09:26:04,874  WARN RepeatTokenInterceptor:70 - please don't repeat submit,url:/order/submitOrder

submit

sthc4683
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring mvc防止数据重复提交的方法
08-26
Spring MVC 防止数据重复提交的方法是使用 Token 机制来实现的,该机制通过在服务器端生成一个随机的 UUID,并将其存储在 Session 中,然后在客户端提交数据时带上该 UUID,服务器端在接收到该 UUID 后,对其进行...
springboot2.1+redis+拦截器 防止表单重复提交
10-05
在现代Web应用开发中,防止表单重复提交是一项重要的任务,因为这可能导致数据不一致性和服务器资源浪费。本文将深入探讨如何使用Spring Boot 2.1、Redis和拦截器来实现这一功能。以下是对这个主题的详细解释: ...
Spring MVC防止数据重复提交
让人生充满永动的势能
02-29 1094
下面来讲一下如何在Spring MVC里面解决此问题(其它框架也一样,逻辑一样,思想一样,和具体框架没什么关系)。要解决重复提交,有很多办法,比如说在提交完成后redirect一下,也可以用本文提到的使用token的方法(我不使用redirect是因为那样解决不了ajax提交数据或者移动应用提交数据,另一个原因是现在比较通行的方法是使用token,像python里的django框架也是使用toke
服务器端防止重复提交的一个实现
z343986392的专栏
05-09 505
由于web服务器要同时处理大量的http请求,所以用户的某个提交会得不到及时的相应。 这样用户会有意无意的重复点击提交,如果没有很好的措施来防止这种情况。会对系统的安全性带来隐患。 常用的防止重复提交的方法有两种: 1.通过javascript代码在客户端浏览器进行处理。 2.在服务器端进行处理。   其中第二种的安全性更高。   以下是一个在服务器端进行的防止用户重复提交的一个实...
利用Session防止表单重复提交问题
liushijiao258的专栏
11-06 361
问题:  同一个用户打开同一个浏览器进程的多个窗口来并发访问同一个WEB站点的多个FORM表单页面时,将会出现表单无法正常提交的情况。 解决方案: 将FORM表单的标识号作为表单隐藏字段的名称,如下所示:   将所有的表单标识号存储进一个Vector集合对象中,并将Vector集合对象存储进Session域中。当表单提交时,先从Session域中取出Vector集合对象,然后再从Vec
token-springMVC 防止重复提交
08-01
Spring MVC框架中,防止重复提交是一个重要的议题,特别是在处理敏感数据或执行不可逆操作时。重复提交可能会导致数据不一致性和系统混乱。"Token-SpringMVC"是一种常见的解决方案,它利用令牌(Token)机制来确保...
详解spring mvc 请求转发和重定向
08-31
Spring MVC框架中,请求转发和...总的来说,请求转发通常用于在同一应用内部进行页面间的导航,而重定向则常用于外部链接、登录重定向或防止表单重复提交等情况。在实际开发中,开发者应根据具体需求选择合适的方法。
springboot重复提交工具包
最新发布
03-25
9. **拦截器/过滤器**:在Spring Boot中,可以使用Spring MVC的拦截器或Filter来拦截请求,实现请求的预处理和后处理,包括重复提交的逻辑。 10. **AOP(面向切面编程)**:通过定义切面,可以在方法执行前后添加...
后端服务器如何简单的避免重复提交
shandalue的专栏
10-28 8279
业务场景:用户点击购买后,修改订单状态,修改用户账户余额,并添加用户消费记录。 分析:这里在同一个事务里有三个动作,两个是更新,一个是添加。如果这时候出现并发情况,那么用户消费记录肯定会多出一条,用户账户余额也可能出现错误。那么该如何防止呢?在修改前查询订单状态判断是否已经修改过明显不能解决问题。因为数据库一般默认update操作会占有一个行级锁,别人无法修改这条记录,但是可以查询到。
客户端、服务器端防止表单重复提交
芊李马
06-09 2822
一、什么是表单重复提交
客户端与服务器端重复提交
热门推荐
君子敏于行而讷于言
08-01 1万+
一、客户端表单重复提交 1.1 实现方式、思路 为了防止用户在客户端重复提交表单,要分析从客户端和服务端对重复提交的表单就行处理,首先是客户端处理重复提交表单,使用JavaScript方法 第一种是只允许表单提交一次,后来的不能再提交 第二种是提交一次后按钮变成不可用 1.2 实现代码 下面是代码的实现 &amp;amp;amp;lt;html&amp;amp;amp;gt; &amp;amp;amp;lt;head&amp;amp;amp;
spring mvc 防止重复提交表单的两种方法,推荐第二种
weixin_34302798的博客
10-27 876
第一种方法:判断session中保存的token 比较麻烦,每次在提交表单时都必须传入上次的token。而且当一个页面使用ajax时,多个表单提交就会有问题。 注解Token代码: package com.thinkgem.jeesite.common.repeat_form_validator; import java.lang.anno...
HandlerInterceptor中的preHandle、postHandle与afterCompletion
Janson_Lin
09-23 2475
HandlerInterceptor简介 拦截器我想大家都并不陌生,最常用的登录拦截、或是权限校验、或是重复提交、或是根据业务像12306去校验购票时间,总之可以去做很多的事情。 我仔细想了想 这里我分三篇博客来介绍HandlerInterceptor的使用,从基本的使用、到自定义注解、最后到读取body中的流解决无法多次读取的问题。 1、定义实现类 定义一个Interceptor 非常简单方式也有几种,我这里简单列举两种 1、类要实现SpringHandlerInterceptor 接口 2、
重复提交之传递token方法
he_xiao123的博客
12-13 908
重复提交是一件很普通的事,因为之前这块只拿来用了.并未关心其中的实现,现在回来记录一下. 实现方式是:前端在需要重复提交的页面进入时去服务器拿到token,服务器要把token放到session中一份,等前端提交时删除token,第二次提交时发现token没有.就直接返回重复提交就行了.这种局限性很大,不适合微服务,微服务的话我理解需要用数据库唯一索引(不推荐)或者redis锁(推荐)来实现...
若依源码解析:防止表单重复提交@RepeatSubmit、RepeatableFilter、RepeatedlyRequestWrapper和RepeatSubmitInterceptor
字节叔叔
05-17 4604
若依(Ruoyi)是一款基于Spring Boot和MyBatis的开源后台管理系统,它提供了一系列的拦截器(Interceptor)用于处理请求。其中,RepeatSubmitInterceptor重复提交拦截器)是若依系统中的一个关键拦截器,用于防止用户重复提交表单请求。在Web应用程序中,用户可能会重复提交表单,例如在点击提交按钮后多次点击或者网络延迟造成用户误以为提交未成功而再次提交。这可能导致一些问题,例如重复的数据插入或重复的业务逻辑处理。
重复提交校验+HttpServletRequest 流数据不可重复
weixin_43832604的博客
01-29 539
重复提交校验+HttpServletRequest 流数据不可重复
若依解读------Spring Boot防止重复提交(幂等性)
老王的博客
12-14 4577
一.前端限制: 点击按钮以后设置按钮(几秒内)不可点击 二.后端限制: 思路: 1.设置拦截器拦截所有的请求,再自定义注解,判断请求若标记了这个注解才执行第二点。 2.通过session或redis等缓存工具来缓存请求,判断对应的url的传参数据是否与上次的相同以及事件是否小于8秒。 设计: 设计自定义注解(防止表单重复提交),方法被该注解标记则判断请求是否重复提交 import java.lang.annotation.Documented; import java.lang.annotation
spring boot接口如何防止重复提交
05-11
这种方法需要前后端配合实现,但是可以有效防止重复提交。 3. 通过Redis实现 后端可以在接收到第一次请求时,将请求的参数以及一个标识(如IP地址或者用户ID)存储在Redis中,并设置一个过期时间。在后续提交时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值