spring mvc基於token防止重複提交驗證

原創 Java__han 2020-02-25 15:19

spring mvc基於token防止重複提交驗證

實現思路:

在springmvc配置文件中加入攔截器的配置,攔截兩類請求,一類是到頁面的,一類是提交表單的。當轉到頁面的請求到來時,生成token的名字和token值,放入session,在頁面表單的隱藏域顯示。

當表單請求提交時,攔截器得到參數中的tokenName和token,然後到session中去取token值,如果能匹配上,請求就通過,不能匹配上就不通過。這裏的token生成時也是隨機的,每次請求都不一樣。而從session中取token值時,會立即將其刪除(刪與讀是原子的,無線程安全問題)。

一、首先創建一個token處理類  ,這裏的類名叫 TokenHandler

package com.base.utils;
import java.math.BigInteger;
import java.util.HashMap;
import java.util.Map;
import java.util.Random;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.apache.log4j.Logger;

/**
 * 創建時間:2017年4月5日 下午5:56:31 
 * 項目名稱:tra02
 * 
 * @author hc
 * @version 1.0 
 * 文件名稱:TokenHandler.java 
 * 類說明:
 */
public class TokenHandler {
	private static Logger logger = Logger.getLogger(TokenHandler.class);

	static Map<String, String> springmvc_token = null;

	// 生成一個唯一值的token
	@SuppressWarnings("unchecked")
	public synchronized static String generateGUID(HttpSession session) {
		String token = "";
		try {
			Object obj = session.getAttribute("SPRINGMVC.TOKEN");
			if (obj != null)
				springmvc_token = (Map<String, String>) session.getAttribute("SPRINGMVC.TOKEN");
			else
				springmvc_token = new HashMap<String, String>();
			token = new BigInteger(165, new Random()).toString(36).toUpperCase();
			springmvc_token.put(Constants.DEFAULT_TOKEN_NAME + "." + token, token);
			session.setAttribute("SPRINGMVC.TOKEN", springmvc_token);
			Constants.TOKEN_VALUE = token;
			// System.out.println(session.getAttribute("SPRINGMVC.TOKEN"));
		} catch (IllegalStateException e) {
			logger.error("generateGUID() mothod find bug,by token session...");
		}
		return token;
	}

	// 驗證表單token值和session中的token值是否一致
	@SuppressWarnings("unchecked")
	public static boolean validToken(HttpServletRequest request) {
		String inputToken = getInputToken(request);

		if (inputToken == null) {
			logger.warn("令牌是不是有效的。inputtoken是空的");
			return false;
		}

		HttpSession session = request.getSession();
		Map<String, String> tokenMap = (Map<String, String>) session.getAttribute("SPRINGMVC.TOKEN");
		if (tokenMap == null || tokenMap.size() < 1) {
			logger.warn("token is not valid!sessionToken is NULL");
			return false;
		}
		String sessionToken = tokenMap.get(Constants.DEFAULT_TOKEN_NAME + "." + inputToken);
		if (!inputToken.equals(sessionToken)) {
			logger.warn("token is not valid!inputToken='" + inputToken + "',sessionToken = '" + sessionToken + "'");
			return false;
		}
		tokenMap.remove(Constants.DEFAULT_TOKEN_NAME + "." + inputToken);
		session.setAttribute("SPRINGMVC.TOKEN", tokenMap);

		return true;
	}

	// 獲取表單中token值
	@SuppressWarnings("unchecked")
	public static String getInputToken(HttpServletRequest request) {
		Map params = request.getParameterMap();
		System.out.println(request.getSession().getAttribute("SPRINGMVC.TOKEN"));
		if (!params.containsKey(Constants.DEFAULT_TOKEN_NAME)) {
			logger.warn("無法找到令牌名稱參數。");
			return null;
		}

		String[] tokens = (String[]) (String[]) params.get(Constants.DEFAULT_TOKEN_NAME);

		if ((tokens == null) || (tokens.length < 1)) {
			logger.warn("得到空或空的令牌名稱。");
			return null;
		}
		String temp = tokens[0];
		String inputtoken = temp.substring(temp.indexOf("=") + 1, (temp.length()) - 1);
		return inputtoken;
	}
}

二、建立常量配置類Constabts

package com。base.utils;

/**
 * 創建時間:2017年4月5日 下午5:57:58 
 * 項目名稱:traffic02
 * 
 * @author hc
 * @version 1.0 
 * 文件名稱:Constants.java 
 * 類說明:
 */
public class Constants {
	
	public static String DEFAULT_TOKEN_MSG_JSP = "add.jsp";
	public static String TOKEN_VALUE;
	public static String DEFAULT_TOKEN_NAME = "springMVC.token";
	
}

三、前端頁面 主要是隱藏域

<%@page import="java.util.Map"%>
<%@ page language="java" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Insert title here</title>
</head>
<body>
	<div align="center">
	<form action="user/add" method="post" >
	
	<input type="hidden" name="springMVC.token" value="<%=session.getAttribute("SPRINGMVC.TOKEN")%>" >
	名字:<input type="text" name="username">
	密碼:<input type="password" name="password"/>
	<input type="submit" value="提交">
	</form>
	
	</div>
</body>
</html>

四、controller不用多寫什麼,能跳轉舉行

package com.traffic.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

/**  
* 創建時間:2017年4月5日 下午1:43:00  
* 項目名稱:tra  
* @author hc  
* @version 1.0   
* 文件名稱:UserController.java  
* 類說明:  
*/
@Controller
@RequestMapping("/user")
public class UserController {
	
	@RequestMapping("/toadd")
	public String toadd(Model model){
		
		return "forward:/add.jsp";
	}
	
	@RequestMapping("/add")
	public String add(String username,String password,Model model){
		
		System.out.println("suc");
		return "forward:/suc.jsp";
	}
}
五、重點是攔截器一個生成token,一個驗證token。 

public class TokenHandlerInterceptor implements HandlerInterceptor{
 
 
    public void afterCompletion(HttpServletRequest arg0,
            HttpServletResponse arg1, Object arg2, Exception arg3)
            throws Exception {
    }
 
    public void postHandle(HttpServletRequest request, HttpServletResponse response,
            Object arg2, ModelAndView arg3) throws Exception {
        TokenHandler.generateGUID(request.getSession());
    }
 
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
            Object arg2) throws Exception {
        return true;
    }
 
}
 
 
 
/**
 * @Title
 * @author 
 * @date 
 */
public class TokenValidInterceptor implements HandlerInterceptor{
 
    public void afterCompletion(HttpServletRequest request,
            HttpServletResponse response, Object arg2, Exception arg3)
            throws Exception {
    }
 
    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1,
            Object arg2, ModelAndView arg3) throws Exception {
         
    }
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
            Object arg2) throws Exception {
        if(!TokenHandler.validToken(request)){
            response.sendRedirect(Constants.DEFAULT_TOKEN_MSG_JSP);
            return false;
        }
    return true;
    }
 
}

六、當然 springmvc要配置攔截器

<mvc:interceptor>
            <mvc:mapping path="/index.do" />-->這個請求返回的是你有token的頁面
            <bean class="com.dengyang.interceptor.TokenHandlerInterceptor" />
        </mvc:interceptor>
        <mvc:interceptor>
            <mvc:mapping path="/indexSubmit.do" />-->這個是提交請求
            <bean class="com.dengyang.interceptor.TokenValidInterceptor" />
        </mvc:interceptor>

七、本方案如果不足之處,請大神們指教;

聲明:本方案源於

http://www.oschina.net/code/snippet_100825_21906  

本人做了一些修改



發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

系統國際化之多語言解決方案| 京東物流技術團隊

1. 背景 隨着京東各業務板塊國際化進程的不斷推進,諸多業務已經融入了多元文化中,一個一體化的多語言系統解決方案成爲各個技術團隊討論的焦點。國際物流系統憑藉在國際化領域多年的經驗,特別是在系統多語言處理上長期的經驗積累,總結了一套標準

原創 2024-05-17 23:56:46

「Java開發指南」如何用MyEclipse搭建GWT 2.1和Spring?(二)

本教程將指導您如何生成一個可運行的Google Web Toolkit (GWT) 2.1和Spring應用程序,該應用程序爲域模型實現了CRUD應用程序模式。在本教程中,您將學習如何: 安裝Google Eclipse插件 爲GWT配置

原創 2024-05-17 12:21:26

Spring boot自動裝配實現原理

自動裝配原理分析 條件註冊機制 spring-context模塊中有兩個組件:Condition接口和@Conditional註解,在@Conditional註解中可以指定一組Condition實現, 通常@Conditional是和@Co

原創 2024-05-16 23:48:07

Spring @EnableXxx註解的使用理解

@EnableXxx註解 Spring有很多@EnableXxx這種形式的註解,類似於可以一鍵打開某項功能,相當於暴露給用戶的一種便捷的配置API,例如 @EnableAsync 激活異步執行能力,@EnableTransactionMan

原創 2024-05-16 23:48:06

Spring cloud bootstrap context機制

Bootstrap Application Context Spring cloud程序在啓動階段,如果開啓了bootstrap啓動過程,則啓動時首先會創建一個bootstrap context,這個容器是項目主容器的父容器,它們共享一個E

原創 2024-05-15 11:50:16

Spring cloud gateway入門

微服務Gateway 微服務網關部署在前端Nginx網關和後端微服務之間,Nginx一般充當流量網關,而微服務網關屬於一種業務型 網關,微服務網關層爲後端的微服務羣組提供統一的接入地址,其核心功能是統一做服務路由,在路由基礎上還 可以實現一

原創 2024-05-15 11:50:15

Spring cloud 服務註冊發現

服務發現 在Spring cloud中,要注意區別服務和服務實例,這是兩個概念,一個微服務單元可以部署多個節點, 每個節點即一個服務實例,Spring cloud默認通過 spring.application.name 配置項來標識一個微服

原創 2024-05-15 11:50:14

Spring 按條件裝配使用方法

條件註冊 Spring 4.0 引入條件註冊機制,暴露給用戶的API是@Conditional和Condition接口,把@Conditional聲明在一個 @Component類上,並接受一組條件(Condition實現),容器初始化期間

原創 2024-05-15 11:50:12

Spring知識點詳解(源碼筆記+思維導圖),AOP和IOC

寫在前面 由於Spring家族的東西很多,一次性寫完也不太現實。所以這一次先更新Spring【最核心】的知識點:AOP和IOC   無論是入門還是面試,理解AOP和IOC都是非常重要的。在面試的時候,我沒怎麼被問過MyBatis/Hib

osc_r0irdqn7 2024-05-14 01:47:38

從XML配置角度理解Spring AOP

本文分享自華爲雲社區《Spring高手之路18——從XML配置角度理解Spring AOP》,作者: 磚業洋__。 1. Spring AOP與動態代理 1.1 Spring AOP和動態代理的關係 Spring AOP使用動態代理作爲

原創 2024-05-13 11:31:09

Spring AOP 中被代理的對象一定是單例嗎?

今天我們來思考這樣一個問題:在 Spring AOP 中,被代理的對象是單例的嗎?當我們每次獲取到代理對象的時候,都會重新獲取一個新的被代理對象嗎?還是被代理的對象始終是同一個? 爲什麼要思考這個問題,因爲在松哥接下來要講的 @Scope

原創 2024-05-13 02:20:48

Spring Boot3,啓動時間縮短 10 倍!

前面松哥寫了一篇文章和大家聊了 Spring6 中引入的新玩意 AOT(見Spring Boot3 新玩法,AOT 優化!)。 文章發出來之後,有小夥伴問松哥有沒有做性能比較,老實說,這個給落下了,所以今天再來一篇文章,和小夥伴們梳理比較小

原創 2024-05-13 02:20:47

springboot啓動配置文件加載過程

new SpringApplication(primarySources).run(args); public SpringApplication(ResourceLoader resourceLoader, Class<?>... pri

原創 2024-05-12 10:56:20

一種極簡單的SpringBoot單元測試方法| 京東零售技術團隊

前言 本文主要提供了一種單元測試方法,力求0基礎人員可以從本文中受到啓發,可以搭建一套好用的單元測試環境,並能切實的提高交付代碼的質量。極簡體現在除了POM依賴和單元測試類之外,其他什麼都不需要引入,只需要一個本地能啓動的springboo

原創 2024-05-10 00:30:06

「Java開發指南」如何用MyEclipse搭建GWT 2.1和Spring?(一)

本教程將指導您如何生成一個可運行的Google Web Toolkit (GWT) 2.1和Spring應用程序,該應用程序爲域模型實現了CRUD應用程序模式。在本教程中,您將學習如何: 安裝Google Eclipse插件 爲GWT配置

原創 2024-05-08 11:36:35