spring boot项目添加拦截器验证token防止表单重复提交

最新推荐文章于 2024-08-16 08:05:29 发布
最新推荐文章于 2024-08-16 08:05:29 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: Spring Boot ylcf 工作中遇到的问题 文章标签: java javascript runtime ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengun/article/details/84918612
版权

遇到问题: 测试人员用burpsuite工具抓取表单数据,当页面点击提交数据后,工具burpsuite将截取到的数据修改后模拟发送,依然可以正常修改,解决办法 项目添加token验证, 

第一步:先写token生成和销毁方法

package com.smartt.api.interceptor;  
  
import java.lang.annotation.*;  
  
@Target(ElementType.METHOD)  
@Retention (RetentionPolicy.RUNTIME)  
@Documented  
public @interface Token {  
   boolean save() default false;  
   boolean remove() default false;  
}

 TokenInterceptor.java

package com.smartt.api.interceptor;  
  
import java.lang.reflect.Method;  
import java.util.UUID;  
  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
  
import org.springframework.web.method.HandlerMethod;  
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  
  
public class TokenInterceptor extends HandlerInterceptorAdapter {  
      
    @Override  
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  
        if (handler instanceof HandlerMethod) {  
            HandlerMethod handlerMethod = (HandlerMethod) handler;  
            Method method = handlerMethod.getMethod();  
            Token annotation = method.getAnnotation(Token.class);  
            if (annotation != null) {  
                boolean needSaveSession = annotation.save();  
                if (needSaveSession) {  
                    request.getSession(false).setAttribute("token", UUID.randomUUID().toString());  
                }  
                boolean needRemoveSession = annotation.remove();  
                if (needRemoveSession) {  
                    if (isRepeatSubmit(request)) {  
                        return false;  
                    }  
                    request.getSession(false).removeAttribute("token");  
                }  
            }  
            return true;  
        } else {  
            return super.preHandle(request, response, handler);  
        }  
    }  
  
    private boolean isRepeatSubmit(HttpServletRequest request) {  
        String serverToken = (String) request.getSession(false).getAttribute("token");  
        if (serverToken == null) {  
            return true;  
        }  
        String clinetToken = request.getParameter("token");  
        if (clinetToken == null) {  
            return true;  
        }  
        if (!serverToken.equals(clinetToken)) {  
            return true;  
        }  
        return false;  
    }  
}

 第二步:写springboot的拦截器,拦截对应的访问方法地址,进行token验证

package com.smartt.api;  
  
import org.springframework.boot.SpringApplication;  
import org.springframework.context.annotation.ComponentScan;  
import org.springframework.context.annotation.Configuration;  
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;  
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;  
  
import com.smartt.api.interceptor.TokenInterceptor;  
  
@Configuration  
@ComponentScan(useDefaultFilters = true)  
public class WebAppConfig extends WebMvcConfigurerAdapter {  
  
    public static void main(String[] args) {    
        SpringApplication.run(WebAppConfig.class, args);    
    }     
        
    /**   
     * 配置拦截器   
     * @author lance   
     * @param registry   
     */    
    public void addInterceptors(InterceptorRegistry registry) {    
        registry.addInterceptor(new TokenInterceptor()).addPathPatterns("/admin/**");    
    }    
}

 我写的是 /admin/  对应的controller访问路径的,如果多个不同的访问地址可以这么写 /**  或 

如果写了多个又不想全部都拦截可以这么写 
 多个拦截器组成一个拦截器链  
        // addPathPatterns 用于添加拦截规则  
        // excludePathPatterns 用户排除拦截  
        registry.addInterceptor(new MyInterceptor1()).addPathPatterns("/xxx1/**");  
        registry.addInterceptor(new MyInterceptor2()).addPathPatterns("/xxx2/**");

 

  1. 接下来就是关键,在进入到你需要提交的页面的controller方法上使用你的自定义注解
  2. 在提交数据的controller方法上删除
  3. 最后一个步骤,首先需要再页面获取到session中的token并放入隐藏域中,最后如果你是ajax提交的数据,记得一定要把token当做参数提交上去,否则后台无法获取到你页面提交的token值,就无法和session中的作比较
贤云(xianyun)
关注
专栏目录
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-CSDN博客
05-17 2587
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringBoot拦截器+注解方式实现防止表单重复提交
Gavin_wangzg的专栏
03-29 7902
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/Gavin_wangzg/article/details/79738316 表单重复提交在web应用中是比较常见的问题,重复提交的动作容易造成脏数据,为了避免这重复提交的操作简便的方便是采用拦截器+注解的方式。 基本的原理: url请求时,用拦截器拦截,生成一个唯一的标识符(token),在新建...
spring boot自定义拦截器实现接口防重复提交
ID-Tang的博客
03-09 649
自定义拦截器实现接口防重复提交实现思路源码拦截器类webConfig 实现思路 该拦截器通过获取访问者主机IP地址及访问接口,放入map集合中,实现同一接口、同一IP短时间内调用次数限制 源码 拦截器类 该拦截器在调用接口之前执行 IpUtil是我自己写的一个工具类cntool中的获取IP方法,关于这个工具类看👉这儿 ExpiringMap是一个可以设置时效的Map集合,.expiration(3, TimeUnit.SECONDS)参数第一个是生效时间,这个生效时间是以秒来计的,比如说你想让存的键值生效
SpringBoot接口防抖(防重复提交)的一些实现方案
最新发布
lxw1844912514的博客
08-16 118
所谓防抖,一是防用户手抖,二是防网络抖动。在Web系统中,表单提交是一个非常常见的功能,如果不加控制,容易因为用户的误操作或网络延迟导致同一请求被发送多次,进而生成重复的数据记录。要针对用户的误操作,前端通常会实现按钮的loading状态,阻止用户进行多次点击。而对于网络波动造成的请求重发问题,仅靠前端是不行的。为此,后端也应实施相应的防抖逻辑,确保在网络波动的情况下不会接收并处理同一请求多次。????...
springboot 拦截器验证token
iunk的博客
11-08 5673
springboot 配置拦截器验证token并返回json给前端。代码如下: /** * 验证token,是否登录 */ @Component public class TokenInterceptor implements HandlerInterceptor { private Logger logger = LoggerFactory.getLogger(TokenInte...
SpringBoot 自定义拦截器 检验token
pyon_的博客
01-22 513
SpringBoot 自定义拦截器 检验token并返回前端请求参数 String json = new ObjectMapper().writeValueAsString("map"); response.setContentType("application/json;charset=UTF-8"); response.getWriter().println(json);
springboot2.1+redis+拦截器 防止表单重复提交
10-05
springboot2.1+redis+拦截器 防止表单重复提交详细完整介绍,所用到的文件都上传了,下载即可使用。自己花了半天整理,并且测试通过,使用在实际项目中的,希望对每一个下载的朋友有帮助。
如何防止表单重复提交(后端)
MrHuang
04-26 2494
1.背景与介绍: 平时开发的项目中可能会出现下面这些情况: 由于用户误操作,多次点击表单提交按钮。 由于网速等原因造成页面卡顿,用户重复刷新提交页面。 黑客或恶意用户使用postman等工具重复恶意提交表单(攻击网站)。 这些情况都会导致表单重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机。因此有效防止表单重复提交有一定的必要性。 2.解决方案 2.1 通过Jav...
springboot项目添加拦截器验证token防止表单重复提交
sswltt的博客
04-25 1323
第一步:先写token生成和销毁方法 Token.java代码 packagecom.smartt.api.interceptor; importjava.lang.annotation.*; @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME)...
SpringBoot使用Session防止表单重复提交(提供Gitee源码)
黄团团的个人博客
06-17 1689
在日常开发中,客户可能会存在反复点击提交按钮导致表单重复提交,这个问题也是非常需要重视的,在本篇博客中,采用的是session、自定义注解和拦截器的方式来防止重复表单重复提交,提高整体代码的优雅和整洁度!
防止表单重复提交的方法(简单的token方式)
01-07
防止表单重复提交的方法(简单的token方式),内附实现代码及实现思路。
13.Spring Boot防止表单重复提交实现方式
相互学习 共同进步
05-03 1044
(1)点击提交按钮两次(2)点击刷新按钮(3)使用浏览器后退按钮重复之前的操作,导致重复提交表单(4)使用浏览器历史记录重复提交表单(5)浏览器重复的HTTP请求用户提交表单时可能因为网速的原因,或者网页被恶意刷新,致使同一条记录重复插入到数据库中,这是一个比较棘手的问题。我们可以从客户端和服务器端一起着手,设法避免同一表单重复提交
防止重复提交拦截器 spring boot
AmbroseLe
04-26 1277
import com.alibaba.fastjson.JSONObject; import com.manage.common.core.web.domain.AjaxResult; import com.manage.common.utils.ServletUtils; import com.manage.framework.interceptor.annotation.RepeatSubm...
spring boot防止表单重复提交添加拦截器验证token
小白龙的博客
09-28 2712
1:先写token生成和销毁方法 token.java package com.smartt.api.interceptor; import java.lang.annotation.*; @Target(ElementType.METHOD) @Retention (RetentionPolicy.RUNTIME) @Documented public @interface Token ...
分布式服务 API 的幂等设计方案 & Spring Boot + Redis 拦截器实现实例
AI天才研究院
03-31 8553
什么是幂等?简单讲,幂等性是指相同的参数调用同一个 API,执行一次或多次效果一样。在函数式编程里面,这叫“无副作用”,Pure Function。用业务的语言将,就是:对于同一笔业务操作...
SpringBoot防止表单重复提交添加拦截器验证Token
慕白Lee的博客
01-19 1135
一、背景 二、token.java 三、拦截器 四、应用实例
基于token的一个拦截器
weixin_41678132的博客
12-04 2211
public class TokenInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object hander) throws Exception { ...
SpringBoot/SpringMvc添加拦截器
jeason的博客
05-10 698
最近给SpringBootSpringMvc)添加拦截器的时候遇到了一个小坑,记录一下 一般给SpringMvc添加拦截器的时候我们首先想到了这种方式: @Override public void addInterceptors(InterceptorRegistry registry){ List<String> excludePath = new ArrayList<>(); //排除拦截,除了注册登录(此时还没token)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值