背景與介紹:
平時開發的項目中可能會出現下面這些情況:
- 由於用戶誤操作,多次點擊表單提交按鈕。
- 由於網速等原因造成頁面卡頓,用戶重複刷新提交頁面。
- 黑客或惡意用戶使用postman等工具重複惡意提交表單(攻擊網站)。
這些情況都會導致表單重複提交,造成數據重複,增加服務器負載,嚴重甚至會造成服務器宕機。因此有效防止表單重複提交有一定的必要性。
解決方案
通過JavaScript屏蔽提交按鈕(不推薦)
<script type="text/javascript">
//默認提交狀態爲false
var flag= false;
function dosubmit(){
if(commitStatus==false){
//提交表單後,講提交狀態改爲true
flag= true;
return true;
}else{
return false;
}
}
</script>
通過js代碼,當用戶點擊提交按鈕後,屏蔽提交按鈕使用戶無法點擊提交按鈕或點擊無效,從而實現防止表單重複提交.
問題:
js代碼很容易被繞過。比如用戶通過刷新頁面方式,或使用postman等工具繞過前段頁面仍能重複提交表單。因此不推薦此方法。
給數據庫增加唯一鍵約束(簡單粗暴)
在數據庫建表的時候在ID字段添加主鍵約束,郵箱、電話、身份信息等字段加唯一性約束。確保數據庫只可以添加一條數據。
數據庫加唯一性約束sql:
alter table user add unique key phone(field1, field2)
服務器及時捕捉插入數據異常:
try {
UserMapper.insert(user);
} catch (DuplicateKeyException e) {
logger.error("user already exist");
}
通過數據庫加唯一鍵約束能有效避免數據庫重複插入相同數據。但無法阻止惡意用戶重複提交表單(攻擊網站),服務器大量執行sql插入語句,增加服務器和數據庫負荷。
利用Session防止表單重複提交(推薦)
實現原理:
- 服務器跳轉表單頁面時,會先生成一個subToken保存於session,並把該subToen傳給表單頁面。
- 當表單提交時會帶上subToken,服務器攔截器Interceptor會攔截該請求,攔截器判斷session保存的subToken和表單提交subToken是否一致。若不一致或session的subToken爲空或表單未攜帶subToken則不通過。
- 首次提交表單時session的subToken與表單攜帶的subToken一致走正常流程,然後攔截器內會刪除session保存的subToken。當再次提交表單時由於session的subToken爲空則不通過。從而實現了防止表單重複提交。
使用:
mvc配置文件加入攔截器配置
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="xxx.xxx.interceptor.AvoidDuplicateSubmissionInterceptor"/>
</mvc:interceptor>
</mvc:interceptors>
攔截器
public class AvoidDuplicateSubmissionInterceptor extends
HandlerInterceptorAdapter {
public AvoidDuplicateSubmissionInterceptor() {
}
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
if (handler instanceof HandlerMethod) {
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod();
SubToken annotation = method
.getAnnotation(SubToken.class);
if (annotation != null) {
boolean needSaveSession = annotation.saveToken();
if (needSaveSession) {
request.getSession(false)
.setAttribute(
"subToken",
TokenProcessor.getInstance().generateToken(
request));
}
boolean needRemoveSession = annotation.removeToken();
if (needRemoveSession) {
if (isRepeatSubmit(request)) {
return false;
}
request.getSession(false).removeAttribute("subToken");
}
}
}
return true;
}
private boolean isRepeatSubmit(HttpServletRequest request) {
String serverToken = (String) request.getSession(false).getAttribute(
"subToken");
if (serverToken == null) {
return true;
}
String clinetToken = request.getParameter("subToken");
if (clinetToken == null) {
return true;
}
if (!serverToken.equals(clinetToken)) {
return true;
}
return false;
}
}
Spring MVC提供的org.springframework.web.servlet.handler.HandlerInterceptorAdapter這個適配器,繼承此類,可以非常方便的實現自己的攔截器
preHandle:在業務處理器處理請求之前被調用。預處理,可以進行編碼、安全控制等處理;
postHandle:在業務處理器處理請求執行完成後,生成視圖之前執行。後處理(調用了Service並返回ModelAndView,但未進行頁面渲染),有機會修改ModelAndView;
afterCompletion:在DispatcherServlet完全處理完請求後被調用,可用於清理資源等。返回處理(已經渲染了頁面),可以根據ex是否爲null判斷是否發生了異常,進行日誌記錄;
使用AOP自定義切入實現(推薦)
實現原理:
- @Aspect 聲明當前類是一個切面
- 定義切點表達式@Pointcut(“execution(* com.supplier.controller..(…))”)
表達式對應需要AOP切面方法(表單提交方法)。 - 定義通知類型@Before,前置通知
- 通知+切點@Before註解的方法實爲通知(定義了增強),value=切點(aspectService)
每次提交表單時,Aspect都會保存當前key到reids(須設置過期時間)。
重複提交時Aspect會判斷當前redis是否有該key,若有則攔截。
/**
* AOP 攔截通過切點表達式攔截所有controller訪問,判斷是否重複提交表單
*
* @Aspect 聲明當前類是一個切面
*
* @author 張江豐
*
*/
@Aspect
@Component
public class SellerAuthorizeAspect {
@Autowired
private RedisUtil redisUtil;
private static final Log logger = LogFactory.getLog(SellerAuthorizeAspect.class);
/**
* 第一個*是切點方法的返回值類型、第二個*是controller包下所有的controller、後面是controller裏以user開頭的所有方法(無論方法裏面有沒有參數)
**/
@Pointcut("execution(*com.springboot.agriculture.controller..*.user*(..))")
public void aspectService() {
}
/**
* @Before註解的方法實爲通知(定義了增強),value=切點(aspectService)
*/
@Before(value = "aspectService()")
public void before() throws ServletException, IOException {
// 獲取request、response、session
ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder
.getRequestAttributes();
HttpServletRequest request = requestAttributes.getRequest();
//每次攔截當前用戶提交數據,判斷請求在redis是否存在,
if(redisUtil.hasKey(user)){
存在攔截
}else{
不存在提交表單
//提交表單,保存用戶信息(key)和方法名(value),設置過期時間到redis
}
}
}