JAVA後端生成Token（令牌），用於校驗客戶端，防止重複提交

JAVA後端生成Token（令牌），用於校驗客戶端，防止重複提交

1.概述:在web項目中，服務端和前端經常需要交互數據，有的時候由於網絡相應慢，客戶端在提交某些敏感數據（比如按照正常的業務邏輯，此份數據只能保存一份）時，如果前端多次點擊提交按鈕會導致提交多份數據，這種情況我們是要防止發生的。

2.解決方法：

①前端處理：在提交之後通過js立即將按鈕隱藏或者置爲不可用。

②後端處理：對於每次提交到後臺的數據必須校驗，也就是通過前端攜帶的令牌（一串唯一字符串）與後端校驗來判斷當前數據是否有效。

3.總結：第一種方法相對來說比較簡單，但是安全係數不高，第二種方法從根本上解決了問題，所以我推薦第二種方法。

4.核心代碼：

生成Token的工具類：

/**
 * 生成Token的工具類：
 */
package red.hearing.eval.modules.token;
 
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;
 
import sun.misc.BASE64Encoder;
 
/**
 * 生成Token的工具類
 * @author zhous
 * @since 2018-2-23 13:59:27
 *
 */
public class TokenProccessor {
	/* 
     *單例設計模式（保證類的對象在內存中只有一個） 
     *1、把類的構造函數私有 
     *2、自己創建一個類的對象 
     *3、對外提供一個公共的方法，返回類的對象 
     */  
	 private TokenProccessor(){};
	 private static final TokenProccessor instance = new TokenProccessor();
	 
	public static TokenProccessor getInstance() {
		return instance;
	}
 
	/**
	 * 生成Token
	 * @return
	 */
	public String makeToken() {
		String token = (System.currentTimeMillis() + new Random().nextInt(999999999)) + "";
		 try {
			MessageDigest md = MessageDigest.getInstance("md5");
			byte md5[] =  md.digest(token.getBytes());
			BASE64Encoder encoder = new BASE64Encoder();
			return encoder.encode(md5);
		} catch (NoSuchAlgorithmException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		 return null;
	}
}

Token通用工具類：

/**
 * 
 */
package red.hearing.eval.modules.token;
 
import javax.servlet.http.HttpServletRequest;
 
import org.apache.commons.lang3.StringUtils;
 
/**
 * Token的工具類
 * @author zhous
 * @since 2018-2-23 14:01:41
 *
 */
public class TokenTools {
	
	/**
	 * 生成token放入session
	 * @param request
	 * @param tokenServerkey
	 */
	public static void createToken(HttpServletRequest request,String tokenServerkey){
		String token = TokenProccessor.getInstance().makeToken();
		request.getSession().setAttribute(tokenServerkey, token);
	}
	
	/**
	 * 移除token
	 * @param request
	 * @param tokenServerkey
	 */
	public static void removeToken(HttpServletRequest request,String tokenServerkey){
		request.getSession().removeAttribute(tokenServerkey);
	}
	
	/**
	 * 判斷請求參數中的token是否和session中一致
	 * @param request
	 * @param tokenClientkey
	 * @param tokenServerkey
	 * @return
	 */
	public static boolean judgeTokenIsEqual(HttpServletRequest request,String tokenClientkey,String tokenServerkey){
		String token_client = request.getParameter(tokenClientkey);
		if(StringUtils.isEmpty(token_client)){
			return false;
		}
		String token_server = (String) request.getSession().getAttribute(tokenServerkey);
		if(StringUtils.isEmpty(token_server)){
			return false;
		}
		
		if(!token_server.equals(token_client)){
			return false;
		}
		
		return true;
	}
	
}

使用方法：

①在輸出前端頁面的時候調用TokenTools.createToken方法，會把本次生成的token放入session中。

②然後在前端頁面提交數據時從session中獲取token，然後添加到要提交的數據中。

③服務端接受數據後調用judgeTokenIsEqual方法判斷兩個token是否一致，如果不一致則返回，不進行處理。

備註：tokenClientkey和tokenServerkey自定義，調用judgeTokenIsEqual方法時的tokenClientkey一定要與前端頁面的key一致。

轉自：https://blog.csdn.net/u011821334/article/details/79390980