如何防止表單重複提交(token令牌)
阿新 • • 發佈:2019-02-09
在伺服器端生成一個唯一的隨機標識號,專業術語稱為Token(令牌),同時在當前使用者的Session域中儲存這個Token。然後將Token傳送到客戶端的Form表單中,在Form表單中使用隱藏域來儲存這個Token,表單提交的時候連同這個Token一起提交到伺服器端,然後在伺服器端判斷客戶端提交上來的Token與伺服器端生成的Token是否一致,如果不一致,那就是重複提交了,此時伺服器端就可以不處理重複提交的表單。如果相同則處理表單提交,處理完後清除當前使用者的Session域中儲存的標識號
在下列情況下,伺服器程式將拒絕處理使用者提交的表單請求:
1.儲存Session域中的Token(令牌)與表單提交的Token(令牌)不同。
2.當前使用者的Session中不存在Token(令牌)。
3. 使用者提交的表單資料中沒有Token(令牌)。
- package item.google.session;
- import java.io.IOException;
- import javax.servlet.ServletException;
- import javax.servlet.http.HttpServlet;
- import javax.servlet.http.HttpServletRequest;
-
import javax.servlet.http.HttpServletResponse;
- publicclass FormServlet extends HttpServlet {
- privatestaticfinallong serialVersionUID = -884689940866074733L;
- publicvoid doGet(HttpServletRequest request, HttpServletResponse response)
- throws ServletException, IOException {
-
String token = TokenProccessor.getInstance().makeToken();//建立令牌
- System.out.println("在FormServlet中生成的token:"+token);
- request.getSession().setAttribute("token", token); //在伺服器使用session儲存token(令牌)
- request.getRequestDispatcher("/form.jsp").forward(request, response);//跳轉到form.jsp頁面
- }
- publicvoid doPost(HttpServletRequest request, HttpServletResponse response)
- throws ServletException, IOException {
- doGet(request, response);
- }
- }
2.生成Token的工具類TokenProccessor
- package item.google.session;
- import java.security.MessageDigest;
- import java.security.NoSuchAlgorithmException;
- import java.util.Random;
- import sun.misc.BASE64Encoder;
- publicclass TokenProccessor {
- /*
- *單例設計模式(保證類的物件在記憶體中只有一個)
- *1、把類的建構函式私有
- *2、自己建立一個類的物件
- *3、對外提供一個公共的方法,返回類的物件
- */
- private TokenProccessor(){}
- privatestaticfinal TokenProccessor instance = new TokenProccessor();
- /**
- * 返回類的物件
- * @return
- */
- publicstatic TokenProccessor getInstance(){
- return instance;
- }
- /**
- * 生成Token
- * Token:Nv6RRuGEVvmGjB+jimI/gw==
- * @return
- */
- public String makeToken(){ //checkException
- // 7346734837483 834u938493493849384 43434384
- String token = (System.currentTimeMillis() + new Random().nextInt(999999999)) + "";
- //資料指紋 128位長 16個位元組 md5
- try {
- MessageDigest md = MessageDigest.getInstance("md5");
- byte md5[] = md.digest(token.getBytes());
- //base64編碼--任意二進位制編碼明文字元 adfsdfsdfsf
- BASE64Encoder encoder = new BASE64Encoder();
- return encoder.encode(md5);
- } catch (NoSuchAlgorithmException e) {
- thrownew RuntimeException(e);
- }
- }
- }
3.DoFormServlet處理表單提交
- package item.google.session;
- import java.io.IOException;
- import javax.servlet.ServletException;
- import javax.servlet.http.HttpServlet;
- import javax.servlet.http.HttpServletRequest;
- import javax.servlet.http.HttpServletResponse;
- publicclass DoFormServlet extends HttpServlet {
- publicvoid doGet(HttpServletRequest request, HttpServletResponse response)
- throws ServletException, IOException {
- boolean b = isRepeatSubmit(request);//判斷使用者是否是重複提交
- if(b==true){
- System.out.println("請不要重複提交");
- return;
- }
- request.getSession().removeAttribute("token");//移除session中的token
- System.out.println("處理使用者提交請求!!");
- }
- /**
- * 判斷客戶端提交上來的令牌和伺服器端生成的令牌是否一致
- * @param request
- * @return
- * true 使用者重複提交了表單
- * false 使用者沒有重複提交表單
- */
- privateboolean isRepeatSubmit(HttpServletRequest request) {
- String client_token = request.getParameter("token");
- //1、如果使用者提交的表單資料中沒有token,則使用者是重複提交了表單
- if(client_token==null){
- returntrue;
- }
- //取出儲存在Session中的token
- String server_token = (String) request.getSession().getAttribute("token");
- //2、如果當前使用者的Session中不存在Token(令牌),則使用者是重複提交了表單
- if(server_token==null){
- returntrue;
- }
- //3、儲存在Session中的Token(令牌)與表單提交的Token(令牌)不同,則使用者是重複提交了表單
- if(!client_token.equals(server_token)){
- returntrue;
- }
- returnfalse;
- }
- publicvoid doPost(HttpServletRequest request, HttpServletResponse response)
- throws ServletException, IOException {
- doGet(request, response);
- }
- }
4.在form.jsp中使用隱藏域來儲存Token(令牌)
- <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
- <html>
- <head>
- <title>form表單</title>
- </head>
- <body>
- <form action="${pageContext.request.contextPath}/servlet/DoFormServlet" method="post">
- <%--使用隱藏域儲存生成的token--%>
- <%--
- <input type="hidden" name="token" value="<%=session.getAttribute("token") %>">
- --%>
- <%--使用EL表示式取出儲存在session中的token--%>
- <input type="hidden" name="token" value="${token}"/>
- 使用者名稱:<input type="text" name="username">
- <input type="submit" value="提交">
- </form>
- </body>
- </html>