Session实现表单重复提交验证

<span style="font-family: Arial, Helvetica, sans-serif;"><form action="/myservlet/servlet/DoFormServlet" method="post" onsubmit="return doSubmit()"></span>

用户:<input type="text" name="username"><br/>
密码:<input type="password" name="pwd"><br/>
<input type="submit" value="提交">

</form>

通过javascript先在客户端进行校验

<script type="text/javascript">
var flag = true;
function doSubmit(){
if(flag==true){
flag =false;
return true;
}else{
return false;
}
}
</script>

表单在提交到DoFormServlet后，连续点刷新或者返回前面继续刷新的话，会在后台连续提交表单数据，造成服务器压力。为此在服务端可进行表单验证，以免防止表单重复提交。

<%
String token = TokenProcessor.getInstance().process();
session.setAttribute("token", token);
pageContext.setAttribute("token",token);
%>
<form action="/myservlet/servlet/DoFormServlet" method="post">
用户:<input type="text" name="username"><br/>
密码:<input type="password" name="pwd"><br/>
<input type="submit" value="提交">
<input type="hidden" name="token" value=<%=pageContext.getAttribute("token") %>>
</form>

通过单例TokenProcessor的process产生一个唯一的令牌表示符，用Hidden字段提交到DoFormServlet，通过在DoFormServlet比较session中的令牌来验证是否已经提交。

class TokenProcessor{
private static TokenProcessor tp = new TokenProcessor();
private TokenProcessor(){}
public static TokenProcessor getInstance(){
return tp;
}
public String makeToken(){
try{
String token = (System.currentTimeMillis()+new Random().nextInt(99999999))+"";
MessageDigest md =MessageDigest.getInstance("md5");
byte[] result =  md.digest(token.getBytes());
BASE64Encoder encoder = new BASE64Encoder();
return encoder.encode(result);
}catch(Exception e){
throw new RuntimeException(e);
}
}
}

@Override
protected void service(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {

Boolean b = isToken(req);
if(b==true){
System.out.println("请不要重复提交");
return;
}
req.getSession().removeAttribute("token");
System.out.println("处理请求");
}

private Boolean isToken(HttpServletRequest req) {
String cli_token = req.getParameter("token");
if(cli_token==null){
return true;
}
String serv_token = (String) req.getSession().getAttribute("token");
if(serv_token==null){
return true;
}
if(!cli_token.equals(serv_token)){
return true;
}
return false;
}

    上面是DoForm中的验证代码，通过在isToken设置标志位判断具体的登陆情况，只有当前台传来的隐藏字段中的token与从服务器的session域中获取的token一致时，返回false，才可进行提交。注意：当在处理请求前，从session中删除标记。这样当第二次想重复提交时，在isToken()中从session中取出token时为空，返回true说明已经提交过了。