防止重复提交的前后台实现
2015-03-15 19:19
337 查看
在日常生活中,网速不好的时候,经常出现提交表单后网页没有跳转或一直在跳转中,这时可能急性子的用户就会不停地按提交按钮,导致重复提交。重复提交会加重服务器压力。今天我们就来讨论下怎么防止重复提交
一.前台防止重复提交
效果:
提交前:
提交后:
尽管这样,但用户有时会耐不住性子刷新页面或者按后退重新提交,又或者浏览器禁止javascript,那就要用后台来防止重复提交了。
二.后台防止重复提交
控制重复提交的HandlerServlet类:
接下来,让我们来解读下指令类:
指令类TokenProcessor中声明了1)生成唯一令牌(用MessageDigest把sessionID和系统时间用MD5加密生成);2)生成指令并保存在session;3)判断请求和session里面的令牌值是否相等;4)从session中获取令牌;5)清除指令。
这里比较有研究意义的是MessageDigest的用法,这个可以用于网页其他地方来生成唯一id,标识唯一用户或者操作,具体如下:
MessageDigest 通过其getInstance系列静态函数来进行实例化和初始化。MessageDigest 对象通过使用 update 方法处理数据。任何时候都可以调用 reset 方法重置摘要。一旦所有需要更新的数据都已经被更新了,应该调用 digest 方法之一完成哈希计算并返回结果。返回值是字节数组,所以指令类要用toHex()方法把其转化为十六进制的字符串。
MessageDigest 的实现可随意选择是否实现 Cloneable 接口。客户端应用程可以通过尝试复制和捕获 CloneNotSupportedException 测试可复制性:
2) 向MessageDigest传送要计算的数据:public void update(byte input); public void update(byte[] input); public void update(byte[] input, int offset, int len);
3) 计算摘要:public byte[] digest(); public byte[] digest(byte[] input); public int digest(byte[] buf, int offset, int len);
三.验证码防止重复提交
产生验证码:CheckCodeServlet.java
一.前台防止重复提交
<form action="about:blank" method="post" onsubmit ="getElementById('submitInput').disabled=true;return true;" target="_blank">
<input type="submit" value="提交" id="submitInput" onclick="this.value='提交ing···';"/>
</form> 通过onsubmit方法使表单提交后按钮变为disabled,通过按钮添加onClick事件使按钮文字变为“提交ing···”,表示正在提交中。效果:
提交前:
提交后:
尽管这样,但用户有时会耐不住性子刷新页面或者按后退重新提交,又或者浏览器禁止javascript,那就要用后台来防止重复提交了。
二.后台防止重复提交
<form method="post" action="handler" name="theForm">
<table>
<tr>
<td>用户名:</td>
<td><input type="text" name="username"></td>
</tr>
<tr>
<td>密码:</td>
<td>
<input type="password" name="password">
<input type="hidden" name="org.sunxin.token" value="<%=token%>"/>
</td>
</tr>
<tr>
<td><input type="reset" value="重填"></td>
<td><input type="button" name="btnSubmit" value="提交" onClick="checkSubmit();"/></td>
</tr> 先写个表单,如上图,用隐藏表单记录token属性(注意隐藏域中的名字必须与下面令牌类定义的静态变量TOKEN_KEY一致)。当提交表单后,HandlerServlet程序会比较隐藏域中的值和Session域中的标志号,如果相同就处理表单数据,处理后就清除当前用户Session域中存储的标识符,如果不相同就会忽略表单请求。当重复提交表单时,当前Session域中会不存在相应的表单标识号。接下来要写一个名为TokenProcessor的令牌类:import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
/**
* TokenProcessor类是一个单例类。
*/
public class TokenProcessor
{
static final String TOKEN_KEY="org.sunxin.token";
private static TokenProcessor instance = new TokenProcessor();
/**
* getInstance()方法得到单例类的实例。
*/
public static TokenProcessor getInstance()
{
return instance;
}
/**
* 最近一次生成令牌值的时间戳。
*/
private long previous;
/**
* 判断请求参数中的令牌值是否有效。
*/
public synchronized boolean isTokenValid(HttpServletRequest request)
{
//得到请求的当前Session对象。
HttpSession session = request.getSession(false);
if (session == null)
{
return false;
}
//从Session中取出保存的令牌值。
String saved = (String) session.getAttribute(TOKEN_KEY);
if (saved == null) {
return false;
}
//清除Session中的令牌值。
resetToken(request);
//得到请求参数中的令牌值。
String token = request.getParameter(TOKEN_KEY);
if (token == null) {
return false;
}
return saved.equals(token);
}
/**
* 清除Session中的令牌值。
*/
public synchronized void resetToken(HttpServletRequest request)
{
HttpSession session = request.getSession(false);
if (session == null) {
return;
}
session.removeAttribute(TOKEN_KEY);
}
/**
* 产生一个新的令牌值,保存到Session中,
* 如果当前Session不存在,则创建一个新的Session。
*/
public synchronized void saveToken(HttpServletRequest request)
{
HttpSession session = request.getSession();
String token = generateToken(request);
if (token != null) {
session.setAttribute(TOKEN_KEY, token);
}
}
/**
* 根据用户会话ID和当前的系统时间生成一个唯一的令牌。
*/
public synchronized String generateToken(HttpServletRequest request)
{
HttpSession session = request.getSession();
try
{
byte id[] = session.getId().getBytes();
long current = System.currentTimeMillis();
if (current == previous)
{
current++;
}
previous = current;
byte now[] = new Long(current).toString().getBytes();
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(id);
md.update(now);
return toHex(md.digest());
}
catch (NoSuchAlgorithmException e)
{
return null;
}
}
/**
* 将一个字节数组转换为一个十六进制数字的字符串。
*/
private String toHex(byte buffer[])
{
StringBuffer sb = new StringBuffer(buffer.length * 2);
for (int i = 0; i < buffer.length; i++)
{
sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));
sb.append(Character.forDigit(buffer[i] & 0x0f, 16));
}
return sb.toString();
}
/**
* 从Session中得到令牌值,如果Session中没有保存令牌值,则生成一个新的令牌值。
*/
public synchronized String getToken(HttpServletRequest request)
{
HttpSession session = request.getSession(false);
if(null==session)
return null;
String token=(String)session.getAttribute(TOKEN_KEY);
if(null==token)
{
token = generateToken(request);
if (token != null)
{
session.setAttribute(TOKEN_KEY, token);
return token;
}
else
return null;
}
else
return token;
}
}编写以上代码参考自Struts框架中的一个同步令牌类(org.apache.struts.util.TokenProcessor),该类封装了对同步令牌类进行处理的办法。控制重复提交的HandlerServlet类:
import javax.servlet.*;
import java.io.*;
import javax.servlet.http.*;
import java.util.*;
import com.cjg.servlet.TokenProcessor;
public class HandlerServlet extends HttpServlet
{
int count=0;
public void doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException,IOException
{
resp.setContentType("text/html;charset=UTF-8");
PrintWriter out=resp.getWriter();
TokenProcessor processor=TokenProcessor.getInstance();
if(processor.isTokenValid(req))
{
try
{
Thread.sleep(5000);
}
catch(InterruptedException e)
{
System.out.println(e);
}
System.out.println("submit : "+count);
if(count%2==1)
count=0;
else
count++;
out.println("success");
}
else
{
processor.saveToken(req);
out.println("你已经提交了表单,同一表单不能提交两次。");
}
out.close();
}
} 注意,上面开了一个Tread用于模拟网速不好的情况。接下来,让我们来解读下指令类:
指令类TokenProcessor中声明了1)生成唯一令牌(用MessageDigest把sessionID和系统时间用MD5加密生成);2)生成指令并保存在session;3)判断请求和session里面的令牌值是否相等;4)从session中获取令牌;5)清除指令。
这里比较有研究意义的是MessageDigest的用法,这个可以用于网页其他地方来生成唯一id,标识唯一用户或者操作,具体如下:
MessageDigest 通过其getInstance系列静态函数来进行实例化和初始化。MessageDigest 对象通过使用 update 方法处理数据。任何时候都可以调用 reset 方法重置摘要。一旦所有需要更新的数据都已经被更新了,应该调用 digest 方法之一完成哈希计算并返回结果。返回值是字节数组,所以指令类要用toHex()方法把其转化为十六进制的字符串。
MessageDigest 的实现可随意选择是否实现 Cloneable 接口。客户端应用程可以通过尝试复制和捕获 CloneNotSupportedException 测试可复制性:
MessageDigest md = MessageDigest.getInstance("SHA");
try {
md.update(toChapter1);
MessageDigest tc1 = md.clone();
byte[] toChapter1Digest = tc1.digest();
md.update(toChapter2);
...etc.
} catch (CloneNotSupportedException cnse) {
throw new DigestException("couldn't make digest of partial content");
}使用思路:1)实例化 MessageDigest 对象,指定加密算法:public static MessageDigest getInstance(String algorithm);2) 向MessageDigest传送要计算的数据:public void update(byte input); public void update(byte[] input); public void update(byte[] input, int offset, int len);
3) 计算摘要:public byte[] digest(); public byte[] digest(byte[] input); public int digest(byte[] buf, int offset, int len);
三.验证码防止重复提交
产生验证码:CheckCodeServlet.java
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.awt.*;
import java.awt.image.*;
import javax.imageio.ImageIO;
public class CheckCodeServlet extends HttpServlet
{
private static int WIDTH = 60;
private static int HEIGHT = 20;
public void doGet(HttpServletRequest request,HttpServletResponse response)
throws ServletException,IOException
{
HttpSession session = request.getSession();
response.setContentType("image/jpeg");
ServletOutputStream sos = response.getOutputStream();
//设置浏览器不要缓存此图片
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", 0);
//创建内存图象并获得其图形上下文
BufferedImage image =
new BufferedImage(WIDTH, HEIGHT, BufferedImage.TYPE_INT_RGB);
Graphics g = image.getGraphics();
//产生随机的认证码
char [] rands = generateCheckCode();
//产生图像
drawBackground(g);
drawRands(g,rands);
//结束图像的绘制过程,完成图像
g.dispose();
//将图像输出到客户端
ByteArrayOutputStream bos = new ByteArrayOutputStream();
ImageIO.write(image, "JPEG", bos);
byte [] buf = bos.toByteArray();
response.setContentLength(buf.length);
//下面的语句也可写成:bos.writeTo(sos);
sos.write(buf);
bos.close();
sos.close();
//将当前验证码存入到Session中
session.setAttribute("check_code",new String(rands));
//直接使用下面的代码将有问题,Session对象必须在提交响应前获得
//request.getSession().setAttribute("check_code",new String(rands));
}
private char [] generateCheckCode()
{
//定义验证码的字符表
String chars = "0123456789abcdefghijklmnopqrstuvwxyz";
char [] rands = new char[4];
for(int i=0; i<4; i++)
{
int rand = (int)(Math.random() * 36);
rands[i] = chars.charAt(rand);
}
return rands;
}
private void drawRands(Graphics g , char [] rands)
{
g.setColor(Color.BLACK);
g.setFont(new Font(null,Font.ITALIC|Font.BOLD,18));
//在不同的高度上输出验证码的每个字符
g.drawString("" + rands[0],1,17);
g.drawString("" + rands[1],16,15);
g.drawString("" + rands[2],31,18);
g.drawString("" + rands[3],46,16);
System.out.println(rands);
}
private void drawBackground(Graphics g)
{
//画背景
g.setColor(new Color(0xDCDCDC));
g.fillRect(0, 0, WIDTH, HEIGHT);
//随机产生120个干扰点
for(int i=0; i<120; i++)
{
int x = (int)(Math.random() * WIDTH);
int y = (int)(Math.random() * HEIGHT);
int red = (int)(Math.random() * 255);
int green = (int)(Math.random() * 255);
int blue = (int)(Math.random() * 255);
g.setColor(new Color(red,green,blue));
g.drawOval(x,y,1,0);
}
}
} 显示验证码:code.html:<h3>带有验证码的登录页面</h3> <form action="servlet/LogonFormServlet" method="post"> 用户名:<input type="text" name="name"><br> 密 码:<input type="password" name="pass"><br> 验证码:<input type="text" name="check_code"> <img src="servlet/CheckCodeServlet"><br> <input type="submit" value="登录"> </form>处理请求:LogonFormServlet.java
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
public class LogonFormServlet extends HttpServlet
{
public void service(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException
{
response.setContentType("text/html;charset=GB2312");
PrintWriter out = response.getWriter();
HttpSession session = request.getSession(false);
if(session == null)
{
out.println("验证码处理问题!");
return;
}
String savedCode = (String)session.getAttribute("check_code");
if(savedCode == null)
{
out.println("验证码处理问题!");
return;
}
String checkCode = request.getParameter("check_code");
if(!savedCode.equals(checkCode))
{
/*验证码未通过,不从Session中清除原来的验证码,
以便用户可以后退回登录页面继续使用原来的验证码进行登录*/
out.println("验证码无效!");
return;
}
/*验证码检查通过后,从Session中清除原来的验证码,
以防用户后退回登录页面继续使用原来的验证码进行登录*/
session.removeAttribute("check_code");
out.println("验证码通过,服务器正在校验用户名和密码!");
}
}
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- springmvc中自己实现的token防表单重复提交,防止二次提交
- Struts 2.x 实现防止表单重复提交
- springmvc中自己实现的token防表单重复提交,防止二次提交
- Spring MVC拦截器+注解方式实现防止表单重复提交
- 使用Post/Redirect/Get实现Asp.net防止表单重复提交
- 前台限制默认表单重复提交(jquery 实现方式 防止因为网络延迟而产生的表单重复提交)
- Spring MVC拦截器+注解方式实现防止表单重复提交
- 服务器端防止重复提交的一个实现
- Spring MVC拦截器+注解方式实现防止表单重复提交
- js防止表单重复提交实现代码
- Spring MVC拦截器+注解方式实现防止表单重复提交
- Spring MVC拦截器+注解方式实现防止表单重复提交
- Spring MVC拦截器+注解方式实现防止表单重复提交
- Asp.net实现弹出窗口提示,又防止刷新被重复提交的方法
- jsp防止页面刷新重复提交--Struts令牌实现
- Spring MVC拦截器+注解方式实现防止表单重复提交
- java web项目防止表单重复提交的实现方案
- Spring MVC拦截器+注解方式实现防止表单重复提交
- Asp.net实现弹出窗口提示,又防止刷新被重复提交的方法
- Yii中后台使用session防止重复提交及灌水