ssm+拦截器做到利用token令牌机制防止数据重复提交

本文介绍了一种使用自定义注解和拦截器防止Web应用中重复提交数据的方法,包括生成和验证唯一令牌的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本人前段时间在公司参数了一个商城的项目,负责购物车+订单等一系列模块,但是这一块有个很大的隐患就是数据重复提交的问题,比如在下订单的时候以及确认购买付款的时候如果用户因为某些原因在短时间内连续点击了很多次,那么就会造成数据重复提交,然后本人也专门去网上找了一些资料,然后集合自身的代码,胜利解决了此问题,本篇博文目的只是为了记录下这个东西,一方面是自己能把某一功能自己写下来的话可以加深自己的理解,另一方面也是想可以帮助到有需要的人,本篇博文为原创,如有问题,请私信 欢迎指正~


以前再没用spring,用Struts2的时候也做过类似的功能,当时实现token令牌机制是在jsp页面生成一个随机数,然后放进session中保存,并把这个随机数当做请求的参数传到后台,后台获取到这个参数token之后再从session中通过相同的参数名获取到session中的token,然后两个token判断一下,相同就是同一次请求,并立即删除session中的token,这样的话 你通过页面回退之后再点击提交,session中就已经不存在这个token,就无法重复提交了。


这次的逻辑是一样的,只不过换了一种实现的方式,用自定义注解+拦截器实现,具体如下:

  1. 先自定义一个注解类,元注解@Target和@Retention即可,然后自定义两个方法,方法名随便但不要随便,一个是用来标识生成token,一个是删除
  2. 再自定义一个拦截器,基本逻辑是利用反射,获取到需要被拦截的请求,然后判断一下,比如你在某个请求需要做防止重复提交,那么就在进入该页面的controller的方法上,使用你第一步自定义的注解,并设置save()为true,然后拦截器就会判断,如果为true就表面需要防止重复提交,就会随机生成一串东西,可以自定义 也可以用uuid,然后放进session中,并起个参数名(和之前直接在jsp上生成是一样的道理)。然后在最终提交数据的controller方法上使用remove().true,这样就会进行两个token的一系列的判断
  3. 第三步就是配置拦截器
  4. 接下来就是关键,在进入到你需要提交的页面的controller方法上使用你的自定义注解
  5. 在提交数据的controller方法上删除
  6. 最后一个步骤,首先需要再页面获取到session中的token并放入隐藏域中,最后如果你是ajax提交的数据,记得一定要把token当做参数提交上去,否则后台无法获取到你页面提交的token值,就无法和session中的作比较
基本上大致步骤和代码就是这些。



### SSM框架在前后端分离架构下的拦截器实现 #### 拦截器的功能概述 在SSM(Spring + Spring MVC + MyBatis)框架中,拦截器主要用于对请求进行预处理和后处理。它可以在控制器方法执行前、视图渲染完成后以及整个请求结束后执行特定逻辑[^1]。 #### 拦截器的注册与配置 为了使拦截器生效,需要将其注册到Spring容器中。这通常通过`WebConfig`类完成,该类实现了`WebMvcConfigurer`接口并重写了`addInterceptors`方法[^2]。 以下是具体的实现步骤: #### 自定义拦截器代码示例 自定义拦截器需继承`HandlerInterceptor`抽象类,并实现其三个核心方法:`preHandle`、`postHandle` 和 `afterCompletion`。 ```java import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class CustomInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { System.out.println("进入拦截器 preHandle 方法"); // 可在此处验证用户身份或其他前置条件 String token = request.getHeader("Authorization"); if (token == null || !token.equals("valid_token")) { response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return false; // 阻止后续操作 } return true; // 放行 } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { System.out.println("进入拦截器 postHandle 方法"); // 处理视图对象后的逻辑 } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { System.out.println("进入拦截器 afterCompletion 方法"); // 请求完全结束后的清理工作 } } ``` #### 注册拦截器至Spring容器 通过实现`WebMvcConfigurer`接口并将拦截器添加到配置文件中来启用拦截器功能。 ```java import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new CustomInterceptor()) .addPathPatterns("/api/**") // 对指定路径应用拦截器 .excludePathPatterns("/api/login"); // 排除某些路径 } } ``` 上述代码片段展示了如何将自定义拦截器应用于`/api/**`路径下的所有API调用,同时排除登录接口 `/api/login` 的拦截。 #### 前后端分离场景中的注意事项 在前后端分离架构下,前端页面由独立的服务提供,而后端仅负责RESTful API的数据交互。因此,在设计拦截器时应着重关注以下几点: - **Token校验**:确保每次请求携带有效的认证令牌。 - **跨域支持**:如果存在跨域问题,则应在响应头中设置允许访问的域名列表。 - **异常处理**:统一返回JSON格式错误信息给客户端以便于解析显示。 --- ###
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值