表单提交防刷(重复提交,恶意提交)的方法

背景与介绍：

平时开发的项目中可能会出现下面这些情况：

• 由于用户误操作，多次点击表单提交按钮。
• 由于网速等原因造成页面卡顿，用户重复刷新提交页面。
• 黑客或恶意用户使用postman等工具重复恶意提交表单（攻击网站）。
  这些情况都会导致表单重复提交，造成数据重复，增加服务器负载，严重甚至会造成服务器宕机。因此有效防止表单重复提交有一定的必要性。

解决方案

通过JavaScript屏蔽提交按钮（不推荐）

<script type="text/javascript">
            //默认提交状态为false
            var flag= false;
            function dosubmit(){
                  if(commitStatus==false){
                //提交表单后，讲提交状态改为true
                  flag= true;
                  return true;
                 }else{
                  return false;
              }
             }
      </script>

通过js代码，当用户点击提交按钮后，屏蔽提交按钮使用户无法点击提交按钮或点击无效，从而实现防止表单重复提交.
问题:
js代码很容易被绕过。比如用户通过刷新页面方式，或使用postman等工具绕过前段页面仍能重复提交表单。因此不推荐此方法。

给数据库增加唯一键约束（简单粗暴)

在数据库建表的时候在ID字段添加主键约束，邮箱、电话、身份信息等字段加唯一性约束。确保数据库只可以添加一条数据。

数据库加唯一性约束sql：

alter table user add  unique key phone(field1, field2)

服务器及时捕捉插入数据异常：

try {
                UserMapper.insert(user);
            } catch (DuplicateKeyException e) {
                logger.error("user already exist");
            }

通过数据库加唯一键约束能有效避免数据库重复插入相同数据。但无法阻止恶意用户重复提交表单（攻击网站），服务器大量执行sql插入语句，增加服务器和数据库负荷。

利用Session防止表单重复提交（推荐）

实现原理：

• 服务器跳转表单页面时，会先生成一个subToken保存于session，并把该subToen传给表单页面。
• 当表单提交时会带上subToken，服务器拦截器Interceptor会拦截该请求，拦截器判断session保存的subToken和表单提交subToken是否一致。若不一致或session的subToken为空或表单未携带subToken则不通过。
• 首次提交表单时session的subToken与表单携带的subToken一致走正常流程，然后拦截器内会删除session保存的subToken。当再次提交表单时由于session的subToken为空则不通过。从而实现了防止表单重复提交。

使用：

mvc配置文件加入拦截器配置

<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="xxx.xxx.interceptor.AvoidDuplicateSubmissionInterceptor"/>
</mvc:interceptor>
</mvc:interceptors>

拦截器

public class AvoidDuplicateSubmissionInterceptor extends
        HandlerInterceptorAdapter {

    public AvoidDuplicateSubmissionInterceptor() {
    }

    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            SubToken annotation = method
                    .getAnnotation(SubToken.class);
            if (annotation != null) {
                boolean needSaveSession = annotation.saveToken();
                if (needSaveSession) {
                    request.getSession(false)
                            .setAttribute(
                                    "subToken",
                                    TokenProcessor.getInstance().generateToken(
                                            request));
                }

                boolean needRemoveSession = annotation.removeToken();
                if (needRemoveSession) {
                    if (isRepeatSubmit(request)) {
                        return false;
                    }
                    request.getSession(false).removeAttribute("subToken");
                }
            }
        }
        return true;
    }

    private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(false).getAttribute(
                "subToken");
        if (serverToken == null) {
            return true;
        }
        String clinetToken = request.getParameter("subToken");
        if (clinetToken == null) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }
}  

Spring MVC提供的org.springframework.web.servlet.handler.HandlerInterceptorAdapter这个适配器，继承此类，可以非常方便的实现自己的拦截器
preHandle:在业务处理器处理请求之前被调用。预处理，可以进行编码、安全控制等处理；

postHandle:在业务处理器处理请求执行完成后，生成视图之前执行。后处理（调用了Service并返回ModelAndView，但未进行页面渲染），有机会修改ModelAndView；

afterCompletion:在DispatcherServlet完全处理完请求后被调用，可用于清理资源等。返回处理（已经渲染了页面），可以根据ex是否为null判断是否发生了异常，进行日志记录；

使用AOP自定义切入实现(推荐)

实现原理：

• @Aspect 声明当前类是一个切面
• 定义切点表达式@Pointcut(“execution(* com.supplier.controller..(…))”)
  表达式对应需要AOP切面方法(表单提交方法)。
• 定义通知类型@Before,前置通知
• 通知+切点@Before注解的方法实为通知(定义了增强),value=切点(aspectService)

每次提交表单时，Aspect都会保存当前key到reids（须设置过期时间）。
重复提交时Aspect会判断当前redis是否有该key，若有则拦截。

/**
 * AOP 拦截通过切点表达式拦截所有controller访问,判断是否重复提交表单
 * 
 * @Aspect 声明当前类是一个切面
 * 
 * @author 张江丰
 *
 */
@Aspect
@Component
public class SellerAuthorizeAspect {

	@Autowired
	private RedisUtil redisUtil;

	private static final Log logger = LogFactory.getLog(SellerAuthorizeAspect.class);
	/**
	 * 第一个*是切点方法的返回值类型、第二个*是controller包下所有的controller、后面是controller里以user开头的所有方法（无论方法里面有没有参数）
	 **/
	@Pointcut("execution(*com.springboot.agriculture.controller..*.user*(..))")
	public void aspectService() {

	}

	/**
	 * @Before注解的方法实为通知(定义了增强),value=切点(aspectService)
	 */
	@Before(value = "aspectService()")
	public void before() throws ServletException, IOException {
		// 获取request、response、session
		ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder
				.getRequestAttributes();
		HttpServletRequest request = requestAttributes.getRequest();
		//每次拦截当前用户提交数据,判断请求在redis是否存在,
		if(redisUtil.hasKey(user)){
					存在拦截
		}else{
				不存在提交表单
				//提交表单,保存用户信息(key)和方法名(value),设置过期时间到redis
		}
	}
}