防止重复提交的前后台实现
2015-03-15 19:19
337 查看
在日常生活中,网速不好的时候,经常出现提交表单后网页没有跳转或一直在跳转中,这时可能急性子的用户就会不停地按提交按钮,导致重复提交。重复提交会加重服务器压力。今天我们就来讨论下怎么防止重复提交
一.前台防止重复提交
效果:
提交前:
提交后:
尽管这样,但用户有时会耐不住性子刷新页面或者按后退重新提交,又或者浏览器禁止javascript,那就要用后台来防止重复提交了。
二.后台防止重复提交
控制重复提交的HandlerServlet类:
接下来,让我们来解读下指令类:
指令类TokenProcessor中声明了1)生成唯一令牌(用MessageDigest把sessionID和系统时间用MD5加密生成);2)生成指令并保存在session;3)判断请求和session里面的令牌值是否相等;4)从session中获取令牌;5)清除指令。
这里比较有研究意义的是MessageDigest的用法,这个可以用于网页其他地方来生成唯一id,标识唯一用户或者操作,具体如下:
MessageDigest 通过其getInstance系列静态函数来进行实例化和初始化。MessageDigest 对象通过使用 update 方法处理数据。任何时候都可以调用 reset 方法重置摘要。一旦所有需要更新的数据都已经被更新了,应该调用 digest 方法之一完成哈希计算并返回结果。返回值是字节数组,所以指令类要用toHex()方法把其转化为十六进制的字符串。
MessageDigest 的实现可随意选择是否实现 Cloneable 接口。客户端应用程可以通过尝试复制和捕获 CloneNotSupportedException 测试可复制性:
2) 向MessageDigest传送要计算的数据:public void update(byte input); public void update(byte[] input); public void update(byte[] input, int offset, int len);
3) 计算摘要:public byte[] digest(); public byte[] digest(byte[] input); public int digest(byte[] buf, int offset, int len);
三.验证码防止重复提交
产生验证码:CheckCodeServlet.java
一.前台防止重复提交
<form action="about:blank" method="post" onsubmit ="getElementById('submitInput').disabled=true;return true;" target="_blank"> <input type="submit" value="提交" id="submitInput" onclick="this.value='提交ing···';"/> </form>通过onsubmit方法使表单提交后按钮变为disabled,通过按钮添加onClick事件使按钮文字变为“提交ing···”,表示正在提交中。
效果:
提交前:
提交后:
尽管这样,但用户有时会耐不住性子刷新页面或者按后退重新提交,又或者浏览器禁止javascript,那就要用后台来防止重复提交了。
二.后台防止重复提交
<form method="post" action="handler" name="theForm"> <table> <tr> <td>用户名:</td> <td><input type="text" name="username"></td> </tr> <tr> <td>密码:</td> <td> <input type="password" name="password"> <input type="hidden" name="org.sunxin.token" value="<%=token%>"/> </td> </tr> <tr> <td><input type="reset" value="重填"></td> <td><input type="button" name="btnSubmit" value="提交" onClick="checkSubmit();"/></td> </tr>先写个表单,如上图,用隐藏表单记录token属性(注意隐藏域中的名字必须与下面令牌类定义的静态变量TOKEN_KEY一致)。当提交表单后,HandlerServlet程序会比较隐藏域中的值和Session域中的标志号,如果相同就处理表单数据,处理后就清除当前用户Session域中存储的标识符,如果不相同就会忽略表单请求。当重复提交表单时,当前Session域中会不存在相应的表单标识号。接下来要写一个名为TokenProcessor的令牌类:
import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession; /** * TokenProcessor类是一个单例类。 */ public class TokenProcessor { static final String TOKEN_KEY="org.sunxin.token"; private static TokenProcessor instance = new TokenProcessor(); /** * getInstance()方法得到单例类的实例。 */ public static TokenProcessor getInstance() { return instance; } /** * 最近一次生成令牌值的时间戳。 */ private long previous; /** * 判断请求参数中的令牌值是否有效。 */ public synchronized boolean isTokenValid(HttpServletRequest request) { //得到请求的当前Session对象。 HttpSession session = request.getSession(false); if (session == null) { return false; } //从Session中取出保存的令牌值。 String saved = (String) session.getAttribute(TOKEN_KEY); if (saved == null) { return false; } //清除Session中的令牌值。 resetToken(request); //得到请求参数中的令牌值。 String token = request.getParameter(TOKEN_KEY); if (token == null) { return false; } return saved.equals(token); } /** * 清除Session中的令牌值。 */ public synchronized void resetToken(HttpServletRequest request) { HttpSession session = request.getSession(false); if (session == null) { return; } session.removeAttribute(TOKEN_KEY); } /** * 产生一个新的令牌值,保存到Session中, * 如果当前Session不存在,则创建一个新的Session。 */ public synchronized void saveToken(HttpServletRequest request) { HttpSession session = request.getSession(); String token = generateToken(request); if (token != null) { session.setAttribute(TOKEN_KEY, token); } } /** * 根据用户会话ID和当前的系统时间生成一个唯一的令牌。 */ public synchronized String generateToken(HttpServletRequest request) { HttpSession session = request.getSession(); try { byte id[] = session.getId().getBytes(); long current = System.currentTimeMillis(); if (current == previous) { current++; } previous = current; byte now[] = new Long(current).toString().getBytes(); MessageDigest md = MessageDigest.getInstance("MD5"); md.update(id); md.update(now); return toHex(md.digest()); } catch (NoSuchAlgorithmException e) { return null; } } /** * 将一个字节数组转换为一个十六进制数字的字符串。 */ private String toHex(byte buffer[]) { StringBuffer sb = new StringBuffer(buffer.length * 2); for (int i = 0; i < buffer.length; i++) { sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16)); sb.append(Character.forDigit(buffer[i] & 0x0f, 16)); } return sb.toString(); } /** * 从Session中得到令牌值,如果Session中没有保存令牌值,则生成一个新的令牌值。 */ public synchronized String getToken(HttpServletRequest request) { HttpSession session = request.getSession(false); if(null==session) return null; String token=(String)session.getAttribute(TOKEN_KEY); if(null==token) { token = generateToken(request); if (token != null) { session.setAttribute(TOKEN_KEY, token); return token; } else return null; } else return token; } }编写以上代码参考自Struts框架中的一个同步令牌类(org.apache.struts.util.TokenProcessor),该类封装了对同步令牌类进行处理的办法。
控制重复提交的HandlerServlet类:
import javax.servlet.*; import java.io.*; import javax.servlet.http.*; import java.util.*; import com.cjg.servlet.TokenProcessor; public class HandlerServlet extends HttpServlet { int count=0; public void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException,IOException { resp.setContentType("text/html;charset=UTF-8"); PrintWriter out=resp.getWriter(); TokenProcessor processor=TokenProcessor.getInstance(); if(processor.isTokenValid(req)) { try { Thread.sleep(5000); } catch(InterruptedException e) { System.out.println(e); } System.out.println("submit : "+count); if(count%2==1) count=0; else count++; out.println("success"); } else { processor.saveToken(req); out.println("你已经提交了表单,同一表单不能提交两次。"); } out.close(); } }注意,上面开了一个Tread用于模拟网速不好的情况。
接下来,让我们来解读下指令类:
指令类TokenProcessor中声明了1)生成唯一令牌(用MessageDigest把sessionID和系统时间用MD5加密生成);2)生成指令并保存在session;3)判断请求和session里面的令牌值是否相等;4)从session中获取令牌;5)清除指令。
这里比较有研究意义的是MessageDigest的用法,这个可以用于网页其他地方来生成唯一id,标识唯一用户或者操作,具体如下:
MessageDigest 通过其getInstance系列静态函数来进行实例化和初始化。MessageDigest 对象通过使用 update 方法处理数据。任何时候都可以调用 reset 方法重置摘要。一旦所有需要更新的数据都已经被更新了,应该调用 digest 方法之一完成哈希计算并返回结果。返回值是字节数组,所以指令类要用toHex()方法把其转化为十六进制的字符串。
MessageDigest 的实现可随意选择是否实现 Cloneable 接口。客户端应用程可以通过尝试复制和捕获 CloneNotSupportedException 测试可复制性:
MessageDigest md = MessageDigest.getInstance("SHA"); try { md.update(toChapter1); MessageDigest tc1 = md.clone(); byte[] toChapter1Digest = tc1.digest(); md.update(toChapter2); ...etc. } catch (CloneNotSupportedException cnse) { throw new DigestException("couldn't make digest of partial content"); }使用思路:1)实例化 MessageDigest 对象,指定加密算法:public static MessageDigest getInstance(String algorithm);
2) 向MessageDigest传送要计算的数据:public void update(byte input); public void update(byte[] input); public void update(byte[] input, int offset, int len);
3) 计算摘要:public byte[] digest(); public byte[] digest(byte[] input); public int digest(byte[] buf, int offset, int len);
三.验证码防止重复提交
产生验证码:CheckCodeServlet.java
import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import java.awt.*; import java.awt.image.*; import javax.imageio.ImageIO; public class CheckCodeServlet extends HttpServlet { private static int WIDTH = 60; private static int HEIGHT = 20; public void doGet(HttpServletRequest request,HttpServletResponse response) throws ServletException,IOException { HttpSession session = request.getSession(); response.setContentType("image/jpeg"); ServletOutputStream sos = response.getOutputStream(); //设置浏览器不要缓存此图片 response.setHeader("Pragma","No-cache"); response.setHeader("Cache-Control","no-cache"); response.setDateHeader("Expires", 0); //创建内存图象并获得其图形上下文 BufferedImage image = new BufferedImage(WIDTH, HEIGHT, BufferedImage.TYPE_INT_RGB); Graphics g = image.getGraphics(); //产生随机的认证码 char [] rands = generateCheckCode(); //产生图像 drawBackground(g); drawRands(g,rands); //结束图像的绘制过程,完成图像 g.dispose(); //将图像输出到客户端 ByteArrayOutputStream bos = new ByteArrayOutputStream(); ImageIO.write(image, "JPEG", bos); byte [] buf = bos.toByteArray(); response.setContentLength(buf.length); //下面的语句也可写成:bos.writeTo(sos); sos.write(buf); bos.close(); sos.close(); //将当前验证码存入到Session中 session.setAttribute("check_code",new String(rands)); //直接使用下面的代码将有问题,Session对象必须在提交响应前获得 //request.getSession().setAttribute("check_code",new String(rands)); } private char [] generateCheckCode() { //定义验证码的字符表 String chars = "0123456789abcdefghijklmnopqrstuvwxyz"; char [] rands = new char[4]; for(int i=0; i<4; i++) { int rand = (int)(Math.random() * 36); rands[i] = chars.charAt(rand); } return rands; } private void drawRands(Graphics g , char [] rands) { g.setColor(Color.BLACK); g.setFont(new Font(null,Font.ITALIC|Font.BOLD,18)); //在不同的高度上输出验证码的每个字符 g.drawString("" + rands[0],1,17); g.drawString("" + rands[1],16,15); g.drawString("" + rands[2],31,18); g.drawString("" + rands[3],46,16); System.out.println(rands); } private void drawBackground(Graphics g) { //画背景 g.setColor(new Color(0xDCDCDC)); g.fillRect(0, 0, WIDTH, HEIGHT); //随机产生120个干扰点 for(int i=0; i<120; i++) { int x = (int)(Math.random() * WIDTH); int y = (int)(Math.random() * HEIGHT); int red = (int)(Math.random() * 255); int green = (int)(Math.random() * 255); int blue = (int)(Math.random() * 255); g.setColor(new Color(red,green,blue)); g.drawOval(x,y,1,0); } } }显示验证码:code.html:
<h3>带有验证码的登录页面</h3> <form action="servlet/LogonFormServlet" method="post"> 用户名:<input type="text" name="name"><br> 密 码:<input type="password" name="pass"><br> 验证码:<input type="text" name="check_code"> <img src="servlet/CheckCodeServlet"><br> <input type="submit" value="登录"> </form>处理请求:LogonFormServlet.java
import java.io.*; import javax.servlet.*; import javax.servlet.http.*; public class LogonFormServlet extends HttpServlet { public void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html;charset=GB2312"); PrintWriter out = response.getWriter(); HttpSession session = request.getSession(false); if(session == null) { out.println("验证码处理问题!"); return; } String savedCode = (String)session.getAttribute("check_code"); if(savedCode == null) { out.println("验证码处理问题!"); return; } String checkCode = request.getParameter("check_code"); if(!savedCode.equals(checkCode)) { /*验证码未通过,不从Session中清除原来的验证码, 以便用户可以后退回登录页面继续使用原来的验证码进行登录*/ out.println("验证码无效!"); return; } /*验证码检查通过后,从Session中清除原来的验证码, 以防用户后退回登录页面继续使用原来的验证码进行登录*/ session.removeAttribute("check_code"); out.println("验证码通过,服务器正在校验用户名和密码!"); } }
相关文章推荐
- springmvc中自己实现的token防表单重复提交,防止二次提交
- Struts 2.x 实现防止表单重复提交
- springmvc中自己实现的token防表单重复提交,防止二次提交
- Spring MVC拦截器+注解方式实现防止表单重复提交
- 使用Post/Redirect/Get实现Asp.net防止表单重复提交
- 前台限制默认表单重复提交(jquery 实现方式 防止因为网络延迟而产生的表单重复提交)
- Spring MVC拦截器+注解方式实现防止表单重复提交
- 服务器端防止重复提交的一个实现
- Spring MVC拦截器+注解方式实现防止表单重复提交
- js防止表单重复提交实现代码
- Spring MVC拦截器+注解方式实现防止表单重复提交
- Spring MVC拦截器+注解方式实现防止表单重复提交
- Spring MVC拦截器+注解方式实现防止表单重复提交
- Asp.net实现弹出窗口提示,又防止刷新被重复提交的方法
- jsp防止页面刷新重复提交--Struts令牌实现
- Spring MVC拦截器+注解方式实现防止表单重复提交
- java web项目防止表单重复提交的实现方案
- Spring MVC拦截器+注解方式实现防止表单重复提交
- Asp.net实现弹出窗口提示,又防止刷新被重复提交的方法
- Yii中后台使用session防止重复提交及灌水