spring mvc基于token防止重复提交验证

最新推荐文章于 2025-03-01 23:14:05 发布
最新推荐文章于 2025-03-01 23:14:05 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: 后台开发 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Java__han/article/details/69378970
版权
本文介绍了如何在Spring MVC中使用Token来防止重复提交。主要思路是通过配置拦截器,为页面请求生成随机Token并存入Session,表单提交时校验Token匹配并立即删除,以此达到防止重复提交的目的。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

spring mvc基于token防止重复提交验证

实现思路:

在springmvc配置文件中加入拦截器的配置,拦截两类请求,一类是到页面的,一类是提交表单的。当转到页面的请求到来时,生成token的名字和token值,放入session,在页面表单的隐藏域显示。

当表单请求提交时,拦截器得到参数中的tokenName和token,然后到session中去取token值,如果能匹配上,请求就通过,不能匹配上就不通过。这里的token生成时也是随机的,每次请求都不一样。而从session中取token值时,会立即将其删除(删与读是原子的,无线程安全问题)。

一、首先创建一个token处理类  ,这里的类名叫 TokenHandler

package com.base.utils;
import java.math.BigInteger;
import java.util.HashMap;
import java.util.Map;
import java.util.Random;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.apache.log4j.Logger;

/**
 * 创建时间:2017年4月5日 下午5:56:31 
 * 项目名称:tra02
 * 
 * @author hc
 * @version 1.0 
 * 文件名称:TokenHandler.java 
 * 类说明:
 */
public class TokenHandler {
	private static Logger logger = Logger.getLogger(TokenHandler.class);

	static Map<String, String> springmvc_token = null;

	// 生成一个唯一值的token
	@SuppressWarnings("unchecked")
	public synchronized static String generateGUID(HttpSession session) {
		String token = "";
		try {
			Object obj = session.getAttribute("SPRINGMVC.TOKEN");
			if (obj != null)
				springmvc_token = (Map<String, String>) session.getAttribute("SPRINGMVC.TOKEN");
			else
				springmvc_token = new HashMap<String, String>();
			token = new BigInteger(165, new Random()).toString(36).toUpperCase();
			springmvc_token.put(Constants.DEFAULT_TOKEN_NAME + "." + token, token);
			session.setAttribute("SPRINGMVC.TOKEN", springmvc_token);
			Constants.TOKEN_VALUE = token;
			// System.out.println(session.getAttribute("SPRINGMVC.TOKEN"));
		} catch (IllegalStateException e) {
			logger.error("generateGUID() mothod find bug,by token session...");
		}
		return token;
	}

	// 验证表单token值和session中的token值是否一致
	@SuppressWarnings("unchecked")
	public static boolean validToken(HttpServletRequest request) {
		String inputToken = getInputToken(request);

		if (inputToken == null) {
			logger.warn("令牌是不是有效的。inputtoken是空的");
			return false;
		}

		HttpSession session = request.getSession();
		Map<String, String> tokenMap = (Map<String, String>) session.getAttribute("SPRINGMVC.TOKEN");
		if (tokenMap == null || tokenMap.size() < 1) {
			logger.warn("token is not valid!sessionToken is NULL");
			return false;
		}
		String sessionToken = tokenMap.get(Constants.DEFAULT_TOKEN_NAME + "." + inputToken);
		if (!inputToken.equals(sessionToken)) {
			logger.warn("token is not valid!inputToken='" + inputToken + "',sessionToken = '" + sessionToken + "'");
			return false;
		}
		tokenMap.remove(Constants.DEFAULT_TOKEN_NAME + "." + inputToken);
		session.setAttribute("SPRINGMVC.TOKEN", tokenMap);

		return true;
	}

	// 获取表单中token值
	@SuppressWarnings("unchecked")
	public static String getInputToken(HttpServletRequest request) {
		Map params = request.getParameterMap();
		System.out.println(request.getSession().getAttribute("SPRINGMVC.TOKEN"));
		if (!params.containsKey(Constants.DEFAULT_TOKEN_NAME)) {
			logger.warn("无法找到令牌名称参数。");
			return null;
		}

		String[] tokens = (String[]) (String[]) params.get(Constants.DEFAULT_TOKEN_NAME);

		if ((tokens == null) || (tokens.length < 1)) {
			logger.warn("得到空或空的令牌名称。");
			return null;
		}
		String temp = tokens[0];
		String inputtoken = temp.substring(temp.indexOf("=") + 1, (temp.length()) - 1);
		return inputtoken;
	}
}

二、建立常量配置类Constabts

package com。base.utils;

/**
 * 创建时间:2017年4月5日 下午5:57:58 
 * 项目名称:traffic02
 * 
 * @author hc
 * @version 1.0 
 * 文件名称:Constants.java 
 * 类说明:
 */
public class Constants {
	
	public static String DEFAULT_TOKEN_MSG_JSP = "add.jsp";
	public static String TOKEN_VALUE;
	public static String DEFAULT_TOKEN_NAME = "springMVC.token";
	
}

三、前端页面 主要是隐藏域

<%@page import="java.util.Map"%>
<%@ page language="java" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Insert title here</title>
</head>
<body>
	<div align="center">
	<form action="user/add" method="post" >
	
	<input type="hidden" name="springMVC.token" value="<%=session.getAttribute("SPRINGMVC.TOKEN")%>" >
	名字:<input type="text" name="username">
	密码:<input type="password" name="password"/>
	<input type="submit" value="提交">
	</form>
	
	</div>
</body>
</html>

四、controller不用多写什么,能跳转举行

package com.traffic.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

/**  
* 创建时间:2017年4月5日 下午1:43:00  
* 项目名称:tra  
* @author hc  
* @version 1.0   
* 文件名称:UserController.java  
* 类说明:  
*/
@Controller
@RequestMapping("/user")
public class UserController {
	
	@RequestMapping("/toadd")
	public String toadd(Model model){
		
		return "forward:/add.jsp";
	}
	
	@RequestMapping("/add")
	public String add(String username,String password,Model model){
		
		System.out.println("suc");
		return "forward:/suc.jsp";
	}
}
五、重点是拦截器 一个生成token,一个验证token。 

public class TokenHandlerInterceptor implements HandlerInterceptor{
 
 
    public void afterCompletion(HttpServletRequest arg0,
            HttpServletResponse arg1, Object arg2, Exception arg3)
            throws Exception {
    }
 
    public void postHandle(HttpServletRequest request, HttpServletResponse response,
            Object arg2, ModelAndView arg3) throws Exception {
        TokenHandler.generateGUID(request.getSession());
    }
 
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
            Object arg2) throws Exception {
        return true;
    }
 
}
 
 
 
/**
 * @Title
 * @author 
 * @date 
 */
public class TokenValidInterceptor implements HandlerInterceptor{
 
    public void afterCompletion(HttpServletRequest request,
            HttpServletResponse response, Object arg2, Exception arg3)
            throws Exception {
    }
 
    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1,
            Object arg2, ModelAndView arg3) throws Exception {
         
    }
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
            Object arg2) throws Exception {
        if(!TokenHandler.validToken(request)){
            response.sendRedirect(Constants.DEFAULT_TOKEN_MSG_JSP);
            return false;
        }
    return true;
    }
 
}

六、当然 springmvc要配置拦截器

<mvc:interceptor>
            <mvc:mapping path="/index.do" />-->这个请求返回的是你有token的页面
            <bean class="com.dengyang.interceptor.TokenHandlerInterceptor" />
        </mvc:interceptor>
        <mvc:interceptor>
            <mvc:mapping path="/indexSubmit.do" />-->这个是提交请求
            <bean class="com.dengyang.interceptor.TokenValidInterceptor" />
        </mvc:interceptor>

七、本方案如果不足之处,请大神们指教;

声明:本方案源于

http://www.oschina.net/code/snippet_100825_21906  

本人做了一些修改



基于springmvc 通过注解方式实现token重复提交验证
傻根她弟
09-02 559
token验证,记得当年struts/struts2的时候,现在页面设置token,然后在 action进行验证,而在springmvc下,有更简单的方法 具体实现如下: /** * 防止重复提交 * @author 傻根她弟 * */ @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) @Docume...
token-springMVC 防止重复提交
08-01
总的来说,"Token-SpringMVC"是Spring MVC框架中防止重复提交的一种实用策略,它通过令牌验证确保了请求的唯一性,从而保护了系统的数据一致性。在实际开发中,我们需要根据项目需求和安全级别来选择合适的防止重复...
利用Token机制解决重复重复提交
03-07
利用Token机制解决重复重复提交
spring token 令牌 防止表单重复提交
phpfzh的博客
05-04 2801
最近项目中需要对表单重复提交作处理 这里整理记录下。 spring  拦截器配置代码:   图: 拦截器类代码: package com.ptpl.core.interceptor; import java.lang.reflect.Method; import java.util.UUID; impor
SpringCloud系列教程(十):token验证
最新发布
weixin_38336125的博客
03-01 509
6、这样任何需要用common的module只要把它当做依赖引入项目里就可以了,我们把跟common重复的那些类文件删掉,这里注意,我们在nacos-client-demo项目里使用的JwtConfig文件本来是自动注入的,但是由于提取到了common中,就不会自动注入了,所以我们在nacos-client-demo的启动类上添加扫描的包名,从而把common中的也扫进去,gateway-demo不需要加,因为它不需要,所以common中的拦截器和config就被自动忽略。
spring MVC 后台token重复提交
新方之玉的IT专栏
03-12 471
spring MVC 后台token重复提交解决方案 思路 1.添加拦截器,拦截需要防重复提交的请求 2.通过注解@Token来添加token/移除token 3.前端页面表单添加 &lt;input name='token' type='hiden'&gt; (如果是Ajax请求则需要在请求的json数据中添加token值) 核心源码 拦截器...
springmvc 用拦截器+token防止重复提交
cblstc的博客
01-17 448
地址:http://www.cnblogs.com/hdwpdx/archive/2016/03/29/5333943.html 注意:防止重复提交的那个页面要写: type="hidden"name="token"value="${token}" />
SpringMvc拦截器模板,对token优化
weixin_59623479的博客
08-16 301
SpringMvc拦截器模板,对token优化
Spring mvc防止数据重复提交的方法
08-26
Spring MVC 防止数据重复提交的方法是使用 Token 机制来实现的,该机制通过在服务器端生成一个随机的 UUID,并将其存储在 Session 中,然后在客户端提交数据时带上该 UUID,服务器端在接收到该 UUID 后,对其进行...
springMVC中基于token防止表单重复提交方法
08-29
SpringMVC中基于Token防止表单重复提交方法 SpringMVC中基于Token防止表单重复提交方法是指通过在SpringMVC配置文件中添加拦截器配置,来拦截页面请求和表单提交请求,以防止表单重复提交。下面是该方法的实现思路...
spring-token:整合JWT,springspringMVC,实现基于token验证
05-11
整合JWT,springspringMVC,实现基于token验证 因为优快云博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWT和springspringMVC的...
springmvc集成Ehcache
08-31
springmvc集成Ehcache,实现缓存管理的例子
webapi token验证例子
06-05
webapi token验证例子
springmvc中使用token防止表单重复提交
dukangcheng的博客
03-05 3978
今天在做注册页面的时候,碰到表单重复提交的问题。我就想到要使用模拟struts中的令牌机制来防止表单重复提交。         具体的实现过程是这样的:应为springmvc的控制器控制着页面的跳转或者重定向,所以在跳转到注册页面的时候, 创建一个token使用的是当前事件的long类型数字标识,能在一定范围内标识当前的值唯一性(当然 你也可以使用其他的标识方法比如随机数、系统的当前时间等等
SpringMVC】session、cookie、token三者的区别
HXY19的博客
11-12 319
希望本文对于session、cookie、token还有疑惑,或者分不清的同学们有所帮助!!!
每日一得--springmvc提交form表单重复提交
xoopx的专栏
12-10 436
springmvc提交form表单,当form表单需要自动提交且action相应的url为空时,浏览器会反复提交。 解决办法,调试坚持url是否为空。
Java Web防止表单重复提交
曹建涛的博客
04-26 2512
转载请注明出处: 注:本章内容基于struts2框架,action就相当于servlet 哎,今天遇到这个问题快把我搞崩溃了咯,但是,注意只是快,并没有- -,感觉自己就像卡卡罗特一样啊,只要不把我拍死,我只会变得更强噢。场景重现上网最痛苦的事莫过于网速慢了,这个玩lol的自然懂~~~。打个粗糙的比方吧,一个登陆页面,你很急,但是网很卡,登了半天没卵用,你连点了几次登录①。你登录进去了,刷新了浏
springMVC 防止表单重复提交(自定义注解+拦截器)
weixin_33967071的博客
10-08 229
2019独角兽企业重金招聘Python工程师标准>>> ...
Springmvc表单防止重复提交
HN.yz@ssg
11-17 1011
过滤器:servlet 拦截器:springmvc http://blog.youkuaiyun.com/chenleixing/article/details/44573495   过滤器和拦截器的区别:   ①拦截器是基于java的反射机制的,而过滤器是基于函数回调。   ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器。   ③拦截器只能对action请求起作用,而过滤
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值