歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux編程 >> Linux編程

Spring MVC 用攔截器+token防止重復提交

首先,防止用戶重復提交有很多種方式,總體分為前端JS限制和後端限制,我個人認為後端限制比較妥當(本著能做到更優秀得理念,捨去了前端JS限制重復提交得想法).

之前沒有做過防止用戶重復提交,所以直接百度了一大堆,竟然發現基本上可以歸為2到3種真正不同實現得代碼,文章雖然有很多,不過大部分代碼幾乎都出自同一人,想著這麼多人用代碼應該沒問題,所以該復制復制,該手建手建,終於大工搞成,但是測試得時候發現了一個很重要得問題,永遠處於重復提交狀態,我得天啊,這就很尴尬了,於是趕緊打斷點,F6F6F6,終於懷疑了一行代碼,貼代碼:

private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(true).getAttribute("token");
        if (serverToken == null) {
            return true;
        }
        String clinetToken = request.getParameter("token");//就是這行 NULL,永遠是NULL。
        if (clinetToken == null) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }

嘿我就那了悶,怎麼會接收不到值呢?肯定是頁面有問題了,頁面就只有一句話

<input type="hidden" name="token" value="${token}" />

我突然腦袋靈光一閃,通過name值傳值必須在form表單裡才行,我全是AJAX啊,於是趕緊在傳遞參數中加上token,問題也就順利得結果了!

但是我就再想,這麼多人復制原文得代碼,然後發到自己得博客,難道沒有出現這種問題嘛?

問題解決了,順便總結一下token得使用方法,切記代碼沒問題,復制需謹慎(該改得記得改!)

首先自定義一個注解:

package com.dinfo.interceptor;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Token {

    boolean save() default false;

    boolean remove() default false;
}

接著實現一個攔截器借口:

package com.dinfo.interceptor;

import java.lang.reflect.Method;
import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

public class TokenInterceptor extends HandlerInterceptorAdapter {
    private static final Logger LOG = Logger.getLogger(Token.class);
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            Token annotation = method.getAnnotation(Token.class);
            if (annotation != null) {
                boolean needSaveSession = annotation.save();
                if (needSaveSession) {
                    request.getSession(true).setAttribute("token", UUID.randomUUID().toString());
                }
                boolean needRemoveSession = annotation.remove();
                if (needRemoveSession) {
                    if (isRepeatSubmit(request)) {
                        LOG.warn("please don't repeat submit,url:"+ request.getServletPath());
                        return false;
                    }
                    request.getSession(true).removeAttribute("token");
                }
            }
            return true;
        } else {
            return super.preHandle(request, response, handler);
        }
    }

    private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(true).getAttribute("token");
        if (serverToken == null) {
            return true;
        }
        String clinetToken = request.getParameter("token");
        if (clinetToken == null) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }
}

最後是配置文件:

<!-- 攔截器配置 -->
<mvc:interceptors>
        <!-- 配置Token攔截器,防止用戶重復提交數據 -->
        <mvc:interceptor>
            <mvc:mapping path="/**"/><!--這個地方時你要攔截得路徑 我這個意思是攔截所有得URL-->
            <bean class="com.dinfo.interceptor.TokenInterceptor"/><!--class文件路徑改成你自己寫得攔截器路徑!! -->
        </mvc:interceptor>
</mvc:interceptors>

最最最重要得一點一定要保證頁面和後台token得正常傳遞!!!

在需要生成token(通常是要點擊提交得那個頁面)得Controller中使用我們剛才自定義好得注解,貼代碼:

    @SuppressWarnings({ "unchecked", "finally", "rawtypes" })
    @RequestMapping("/SaveDataController/show")
    @Token(save=true)
    public String saveData(HttpServletRequest request,HttpServletResponse response,String task_id){
       
        Map map = new HashMap();
        System.out.println(task_id);
        try {
            map = saveDataService.queryByTaskId(task_id);
        } catch (Exception e) {
            e.printStackTrace();
            map.put("task_id", task_id);
            map.put("savetype", "");
            map.put("memoryCodes", "1");
            map.put("tablename", "");
            map.put("trowkey", "");
            map.put("columns", "");
            map.put("indextablename", "");
            map.put("irowkey", "");
            map.put("icolumns", "");
        } finally {
            request.setAttribute("map", map);
            return "savedata/index";
        }
    }

只要通過這個方法跳向得頁面都是隨機生成一個token,然後再真正再提交觸發得方法上加入@token(remove=true),貼代碼:

@RequestMapping("/SaveDataController/saveData")
    @ResponseBody
    @Token(remove=true)
    public void saveData(HttpServletRequest request,HttpServletResponse response,
                        String tablename,String trowkey,String columns,
                        String indextablename,String irowkey,String icolumns,
                        String task_id,String savetype,String memoryCodes){
        System.out.println(task_id);
        saveDataService.saveData(task_id,savetype,memoryCodes,tablename, trowkey, columns, indextablename, irowkey, icolumns);
    }

OK,到這裡大功告成,你就可以發現已經沒有辦法重復提交數據了!有問題可以隨時找我溝通。

Spring MVC+Spring3+Hibernate4開發環境搭建 http://www.linuxidc.com/Linux/2013-07/87119.htm

Spring MVC整合Freemarker基於注解方式 http://www.linuxidc.com/Linux/2013-02/79660.htm

基於注解的Spring MVC簡單介紹 http://www.linuxidc.com/Linux/2012-02/54896.htm

Spring MVC 框架搭建及詳解 http://www.linuxidc.com/Linux/2012-01/52740.htm

Spring MVC使用Cron表達式的定時器 http://www.linuxidc.com/Linux/2014-12/110733.htm

Copyright © Linux教程網 All Rights Reserved