声明:本文转自《深入体验Java Web开发内幕》之核心基础一书,本书由张孝祥老师编著。
通过服务器端程序防止表单重复提交的基本原理如下:
a.)包含有FORM表单的页面必须通过一个服务器程序动态产生,服务器程序为每次产生的页面中的FORM表单都分配一个唯一的随机标识号,并在FORM表单的一个隐藏字段中设置这个标识号,同时在当前用户的Session域中保存这个标识号;
b.) 当用户提交FORM表单时,负责接收这一请求的服务器程序比较FORM表单隐藏字段中的标识号与存储在当前用户的Session域中存储的标识号是否相同,如果相同则处理表单数据,处理完后清除当前用户的Session域中的标识号。经过这样的处理后,当用户重复提交原来得到的FORM表单时,当前用户的Session域中已不存在相应的表单标识号,在下列情况下,服务器程序将忽略提交的表单请求:
- 当前用户的Session中不存在表单标识号;
- 用户提交的表单数据中没有标识号字段;
- 存储在当前用户的Session域中的表单标识号与表单数据中的标识号不同。
c.) 浏览器只有重新向Web服务器请求包含FORM表单的页面时,服务器程序才会产生另外一个随机标识号,并将这个标识号保存在Session域中和作为新返回的FORM表单中的隐藏字段值。
以下的示例包含三个组件:TokenProcessor 和 FormGenerateServlet 和 FormDealServlet。TokenProcessor是用于管理表单标识号的工具类,它主要用于产生、比较和清除存储在当前用户Session中的表单标识号。FormGenerateServlet是用于产生FORM表单的Servlet程序,FormDealServlet是负责处理FORM表单请求的Servlet程序。
TokenProcessor.java示例源代码:
package huxin;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
public class TokenProcessor {
private long previous; //上次生成表单标识号的时间值
private static TokenProcessor instance = new TokenProcessor();
public static String FORM_TOKEN_KEY = "FORM_TOKEN_KEY";
private TokenProcessor(){
}
public static TokenProcessor getInstance(){
return instance;
}
/**
* 验证请求消息中的标识号是否有效,如果请求消息中的表单标识号与当前用户的
* Session域中的表单标识号相同,返回结果为true,否则返回false。
*
* @param request 封装当前请求消息的HttpServletRequest对象
*/
public synchronized boolean isTokenValid(HttpServletRequest request){
/*为避免Session对象不存在时创建Session对象,下面的语句不用request.getSession()*/
HttpSession session = request.getSession(false);
if(session == null){
return false;
}
String saved = (String) session.getAttribute(FORM_TOKEN_KEY);
if(saved == null){
return false;
}
String token = request.getParameter(FORM_TOKEN_KEY);
if(token == null){
return false;
}
return saved.equals(token);
}
/**
* 清除存储在当前用户Session中的表单标识号。
*
* @param request 封装当前请求消息的HttpServletRequest对象
*/
public synchronized void resetToken(HttpServletRequest request){
HttpSession session = request.getSession(false);
if(session == null){
return;
}
session.removeAttribute(FORM_TOKEN_KEY);
}
/**
* 产生表单标识号并将之保存在当前用户Session中。
*
* @param request 封装当前请求消息的HttpServletRequest对象
*/
public synchronized void saveToken(HttpServletRequest request){
HttpSession session = request.getSession();
try{
byte id[] = session.getId().getBytes();
long current = System.currentTimeMillis();
if (current == previous){
current++;
}
previous = current;
byte now[] = String.valueOf(current).getBytes();
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(id);
md.update(now);
String token = toHex(md.digest());
session.setAttribute(FORM_TOKEN_KEY, token);
}catch(NoSuchAlgorithmException e){
;
}
}
/**
* 将一个字节数组转换成十六进制的字符串形式返回。
* @param buffer要被转换的字节数组
*/
public String toHex(byte buffer[]){
StringBuffer sb = new StringBuffer(buffer.length*2);
for(int i=0;i<buffer.length;i++){
sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));//注意这里的与运算是和0xf0,同时进行了右移运算
sb.append(Character.forDigit(buffer[i] & 0x0f, 16)); //注意这里的与运算是和0x0f
}
return sb.toString();
}
}
FormGenerateServlet.java示例代码:
package huxin;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* Servlet implementation class FormGenerateServlet
*/
@WebServlet("/FormGenerateServlet")
public class FormGenerateServlet extends HttpServlet {
private static final long serialVersionUID = 1L;
/**
* @see HttpServlet#HttpServlet()
*/
public FormGenerateServlet() {
super();
// TODO Auto-generated constructor stub
}
/**
* @see HttpServlet#service(HttpServletRequest request, HttpServletResponse response)
*/
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// TODO Auto-generated method stub
request.setCharacterEncoding("utf-8");
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
TokenProcessor.getInstance().saveToken(request);
String token = (String)request.getSession().getAttribute(TokenProcessor.FORM_TOKEN_KEY);
out.println("<!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.1//EN' 'http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd'>");
out.println("<html xmlns='http://www.w3.org/1999/xhtml' xml:lang='en'>");
out.println("<html>");
out.println("<head>");
out.println("<title>Session Tonken</title>");
out.println("<meta http-equiv='Content-Type' content='text/html; charset=utf-8' />");
out.println("</head>");
out.println("<body>");
out.println("<form action='FormDealServlet'" + " method='post'>");
out.println("<input type='hidden' name='" + TokenProcessor.FORM_TOKEN_KEY +"' value='" +token +"'>");
out.println("字段1:<input type='text' name='p1'><br>");
out.println("<input type='submit' value='提交'>");
out.println("</form>");
out.println("</body>");
out.println("</html>");
}
}
FormDealServlet.java示例源代码:
package huxin;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* Servlet implementation class FormDealServlet
*/
@WebServlet("/FormDealServlet")
public class FormDealServlet extends HttpServlet {
private static final long serialVersionUID = 1L;
/**
* @see HttpServlet#HttpServlet()
*/
public FormDealServlet() {
super();
// TODO Auto-generated constructor stub
}
/**
* @see HttpServlet#service(HttpServletRequest request, HttpServletResponse response)
*/
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// TODO Auto-generated method stub
request.setCharacterEncoding("utf-8");
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
TokenProcessor tokenProcessor = TokenProcessor.getInstance();
if(!tokenProcessor.isTokenValid(request)){
out.println("这是重复或非法提交!");
return;
}
String p1 = request.getParameter("p1");
if(p1==null || p1.trim().equals("")){
out.println("请输入内容!");
RequestDispatcher rd = request.getRequestDispatcher("FormGenerateServlet");
rd.include(request, response);
}else{
out.println("提交内容已被处理!");
tokenProcessor.resetToken(request);
}
}
}