在服务器端避免表单的重复提交

利用同步令牌来解决重读提交的基本原理

1 用户访问包含表单的页面  服务器在这次会话中 创建一个session对象  并产生一个令牌值 将这个令牌值作为隐藏输入域值 随表单一起发送到客户端 同时将令牌值保存到session中

2 用户提交页面 服务器端首先判断请求参数中的令牌值和Session中保存的令牌值是否相等 如果相等 则清楚session的令牌值 然后执行数据处理操作 如果不相等 则提示用户已经提交过表单 同时产生一个新的令牌值保存到session中 当用户重读提交数据页面的时候 将新产生的令牌值最为隐藏输入域的值

 

TokenProcessor类主要提供下列方法

 

public java.lang.String generateToken(HttpServletRequest request)

根据当前用户会话ID和当前的系统时间生成一个唯一的令牌值

 

public void savaToken(HttpServletRequest request)

调用generateToken()方法产生一个令牌值 并把它保存到Session中 如果Session不存在 则创建一个新的Session

 

public void resetToken(HttpServletRequest request)

清楚保存在用户Session中的令牌值

 

public boolean isTokenValid(HttpServletRequest request)

public boolean isTokenValid(HttpServletRequest request, boolean reset)

以上两种方法获取请求参数中的令牌值 并与保存在用户Session中的令牌值进行比较 判断是否相等

参数reset表示检测后是否要清楚保存在用户Session中的令牌值 前一个方法调用后一个方法 并给reset传递参数false 即在检测后不清楚Session的令牌值

 

 

 

例子：

1  令牌处理类 Tokenprocessor.java

1. package org.sunxin.ch19.util;
   
2. 
   
3. import java.security.MessageDigest;
   
4. import java.security.NoSuchAlgorithmException;
   
5. 
   
6. import javax.servlet.http.HttpServletRequest;
   
7. import javax.servlet.http.HttpSession;
   
8. 
   
9. /**
   
10.  * TokenProcessor类是一个单例类。
    
11. */
    
12. public class TokenProcessor
    
13. {
    
14.     static final String TOKEN_KEY="org.sunxin.token";
    
15.    
    
16.     private static TokenProcessor instance = new TokenProcessor();
    
17. 
    
18.     /**
    
19.      * getInstance()方法得到单例类的实例。
    
20.      */
    
21.     public static TokenProcessor getInstance()
    
22.     {
    
23.         return instance;
    
24.     }
    
25. 
    
26.     /**
    
27.      * 最近一次生成令牌值的时间戳。
    
28.      */
    
29.     private long previous;
    
30. 
    
31.     /**
    
32.      * 判断请求参数中的令牌值是否有效。
    
33.      */
    
34.     public synchronized boolean isTokenValid(HttpServletRequest request)
    
35.     {
    
36.         //得到请求的当前Session对象。
    
37. 
    
38.         HttpSession session = request.getSession(false);
    
39.         if (session == null)
    
40.         {
    
41.             return false;
    
42.         }
    
43.         
    
44.         //从Session中取出保存的令牌值。
    
45. 
    
46.         String saved = (String) session.getAttribute(TOKEN_KEY);
    
47.         if (saved == null) {
    
48.             return false;
    
49.         }
    
50.         
    
51.         //清除Session中的令牌值。
    
52. 
    
53.         resetToken(request);
    
54.         
    
55.         
    
56.         //得到请求参数中的令牌值。
    
57. 
    
58.         String token = request.getParameter(TOKEN_KEY);
    
59.         if (token == null) {
    
60.             return false;
    
61.         }
    
62.         
    
63.         return saved.equals(token);
    
64.     }
    
65. 
    
66.     /**
    
67.      * 清除Session中的令牌值。
    
68.      */
    
69.     public synchronized void resetToken(HttpServletRequest request)
    
70.     {
    
71. 
    
72.         HttpSession session = request.getSession(false);
    
73.         if (session == null) {
    
74.             return;
    
75.         }
    
76.         session.removeAttribute(TOKEN_KEY);
    
77.     }
    
78. 
    
79.     /**
    
80.      * 产生一个新的令牌值，保存到Session中，
    
81.      * 如果当前Session不存在，则创建一个新的Session。
    
82.      */
    
83.     public synchronized void saveToken(HttpServletRequest request)
    
84.     {
    
85. 
    
86.         HttpSession session = request.getSession();
    
87.         String token = generateToken(request);
    
88.         if (token != null) {
    
89.             session.setAttribute(TOKEN_KEY, token);
    
90.         }
    
91. 
    
92.     }
    
93. 
    
94.     /**
    
95.      * 根据用户会话ID和当前的系统时间生成一个唯一的令牌。
    
96.      */
    
97.     public synchronized String generateToken(HttpServletRequest request)
    
98.     {
    
99. 
    
100.         HttpSession session = request.getSession();
     
101.         try
     
102.         {
     
103.             byte id[] = session.getId().getBytes();
     
104.             long current = System.currentTimeMillis();
     
105.             if (current == previous)
     
106.             {
     
107.                 current++;
     
108.             }
     
109.             previous = current;
     
110.             byte now[] = new Long(current).toString().getBytes();
     
111.             MessageDigest md = MessageDigest.getInstance("MD5");
     
112.             md.update(id);
     
113.             md.update(now);
     
114.             return toHex(md.digest());
     
115.         }
     
116.         catch (NoSuchAlgorithmException e)
     
117.         {
     
118.             return null;
     
119.         }
     
120.     }
     
121. 
     
122.     /**
     
123.      * 将一个字节数组转换为一个十六进制数字的字符串。
     
124.      */
     
125.     private String toHex(byte buffer[])
     
126.     {
     
127.         StringBuffer sb = new StringBuffer(buffer.length * 2);
     
128.         for (int i = 0; i < buffer.length; i++)
     
129.         {
     
130.             sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));
     
131.             sb.append(Character.forDigit(buffer[i] & 0x0f, 16));
     
132.         }
     
133.         return sb.toString();
     
134.     }
     
135.     
     
136.     /**
     
137.      * 从Session中得到令牌值，如果Session中没有保存令牌值，则生成一个新的令牌值。
     
138.      */
     
139.     public synchronized String getToken(HttpServletRequest request)
     
140.     {
     
141.         HttpSession session = request.getSession(false);
     
142.         if(null==session)
     
143.             return null;
     
144.         String token=(String)session.getAttribute(TOKEN_KEY);
     
145.         if(null==token)
     
146.         {
     
147.            token = generateToken(request);
     
148.             if (token != null)
     
149.             {
     
150.                 session.setAttribute(TOKEN_KEY, token);
     
151.                 return token;
     
152.             }
     
153.             else
     
154.                 return null;
     
155.         }
     
156.         else
     
157.             return token;
     
158.     }
     
159. }

 

 

2  index.jsp

增加一个隐藏域 并以服务器端产生的令牌值作为他的值

 

1. <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
   
2. <%@ include file="header.jsp" %> //封装了request.getContextPath
   
3. <%@ page import="org.sunxin.ch19.util.TokenProcessor" %>
   
4. <%
   
5. String path = request.getContextPath();
   
6. String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
   
7. %>
   
8. 
   
9. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
   
10. <html>
    
11.   <head>
    
12.     <base href="<%=basePath%>">
    
13.     <title>My JSP 'login.jsp' starting page</title>
    
14.  <meta http-equiv="pragma" content="no-cache">
    
15.  <meta http-equiv="cache-control" content="no-cache">
    
16.  <meta http-equiv="expires" content="0">
    
17.  <meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
    
18.  <meta http-equiv="description" content="This is my page">
    
19. 
    
20.   </head>
    
21.   <body>
    
22.    <%
    
23.     //获取令牌类实例
    
24. 
    
25.     TokenProcessor processor = TokenProcessor.getInstance();
    
26.     //获取令牌值
    
27. 
    
28.     String token = processor.getToken(request);
    
29.    %>
    
30.     <form action="${ctx}/servlet/handle" name="theForm" method="post">
    
31.      <table>
    
32.       <tr>
    
33.        <td>用户名:</td>
    
34.        <td><input type="text" name="username"/></td>
    
35.       </tr>
    
36.       <tr>
    
37.        <td>密码:</td>
    
38.        <td>
    
39.        <input type="password" name="password"/>
    
40.     <%--设置隐藏域，其值为令牌值--%>
    
41.     <input type="hidden" name="org.sunxin.token" value="<%=token%>"/>
    
42.        </td>
    
43.       </tr>
    
44.       <tr>
    
45.        <td>
    
46.         <input type="reset" value="重设">
    
47.        </td>
    
48.        <td>
    
49.         <input type="submit" value="提交" name="btnSubmit" >
    
50.        </td>
    
51.       </tr>
    
52.      </table>
    
53.     </form>
    
54.   </body>
    
55. </html>

 

3  HandlerServlet.java

1. package org.sunxin.ch19.servlet;
   
2. 
   
3. import java.io.IOException;
   
4. import java.io.PrintWriter;
   
5. 
   
6. import javax.servlet.ServletException;
   
7. import javax.servlet.http.HttpServlet;
   
8. import javax.servlet.http.HttpServletRequest;
   
9. import javax.servlet.http.HttpServletResponse;
   
10. 
    
11. import org.sunxin.ch19.util.TokenProcessor;
    
12. 
    
13. public class HandlerServlet extends HttpServlet
    
14. {
    
15.     int count=0;
    
16.     public void doPost(HttpServletRequest req, HttpServletResponse resp)
    
17.                     throws ServletException,IOException
    
18.     {
    
19.         resp.setContentType("text/html;charset=GBK");
    
20.         PrintWriter out=resp.getWriter();
    
21.         
    
22.         TokenProcessor processor=TokenProcessor.getInstance();
    
23.         if(processor.isTokenValid(req))
    
24.         {
    
25.             try
    
26.             {
    
27.                 Thread.sleep(5000);
    
28.             }
    
29.             catch(InterruptedException e)
    
30.             {
    
31.                 System.out.println(e);
    
32.             }
    
33.                 
    
34.             System.out.println("submit : "+count);
    
35.             if(count%2==1)
    
36.                 count=0;
    
37.             else
    
38.                 count++;
    
39.             out.println("success");
    
40.         }
    
41.         else
    
42.         {
    
43.             processor.saveToken(req);
    
44.             out.println("你已经提交了表单，同一表单不能提交两次。");
    
45.         }
    
46.         out.close();
    
47.     }
    
48. }