Spring MVC防止重复提交最佳实践

speed

浏览: 8636 次

最近访客更多访客>>

chinadeng

726681665

suncjh

calmwss

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (4)

社区版块

存档分类

重复提交常见问题分布式锁 memcached

防止表单重复提交是个老生常谈的问题，有些框架层面已经有实现，比如Struts2中的token，但Spring MVC中并未找到相应的功能，只能自己实现。

网上搜索“Spring MVC防止重复提交”，会有一大推的案例实现，但多数都存在以下几个问题或者不便：

防止重复提交页面需要添加隐藏域，类似<input type=”hidden” name=”token” value=”${token}”>，如果页面很多，会是一个体力活；
如果后台服务时分布式的，放入session中的值如何在另一台服务器获取；
多服务器多实例部署后，多个请求同时验证，有同时通过验证的可能，比如A服务器和B服务器都去Redis中验证是否存在token，同时通过验证后再保存操作，也会出现重复提交的问题。

针对以上问题，我们先进行分析一下：

token机制肯定是服务器端产生的并且需要传递给客户端，然后客户端提交请求时带着该token。那有什么机制能保证不改客户端的代码，访问服务器时自动带上token，答案是利用cookie机制；当服务器产生token后，放入cookie，该token自动保存到客户端的cookie，客户端提交请求时，会默认带着所有的cookie信息。
针对该问题还是有好多解决方法，方法一：我们可以把token存入到一个公共地方，比如Redis，memcached中（需要考虑多用户同时生成token问题，放入规则可以userId+token）；方法二：使用插件做到session共享，这样多个服务器都能获取同样的session。
第三个问题是典型的分布式锁问题，同一时刻不能2个线程去校验，否则会出现同时验证通过的问题。

以下是代码实现，基础框架参照的网上示例，session使用了插件做了session共享；分布式锁，由于使用的是memcached，所以使用memcached的add方式实现分布式锁(参照http://timyang.net/programming/memcache-mutex/)。

实现步骤：

新建注解

/**
 * <p>
 * 防止重复提交注解，用于方法上<br/>
 * 在新建页面方法上，设置needSaveToken()为true，此时拦截器会在Session中保存一个token，
 * 同时需要在新建的页面中添加
 * <input type="hidden" name="token" value="${token}">
 * <br/>
 * 保存方法需要验证重复提交的，设置needRemoveToken为true
 * 此时会在拦截器中验证是否重复提交
 * </p>
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Component
public @interface AvoidDuplicateSubmit {
    boolean needSaveToken() default false;
    boolean needRemoveToken() default false;
}

2.定义切面（处理逻辑）

@Aspect
@Component
public class AvoidDuplicateSubmitAspect {
    
    @Autowired(required=false)
    private SessionServiceImpl sessionService;
    private static ICacheService<?> cacheService = CacheFactory.getCache();
    private static IMemcachedCache memcachedCache = null;
    
    static {
        if(cacheService instanceof RemoteCacheServiceImpl) {
            memcachedCache = ((RemoteCacheServiceImpl)cacheService).getCache();
        }
    }
    
    
    @Before("@annotation(sec)")
    public void execute(JoinPoint jp,AvoidDuplicateSubmit sec) { 
        //JoinPoint会获取到注解所在方法的参数
        Object[] args = jp.getArgs();
        //使用该注解的方法参数第一个必须是HttpServletRequest，第二个必须是HttpServletResponse  
        HttpServletRequest request = (HttpServletRequest) args[0];
        HttpServletResponse response = (HttpServletResponse) args[1];
        
        boolean needSaveSession = sec.needSaveToken();
        if (needSaveSession) {
            String uuid = UUID.randomUUID().toString();
            request.getSession(false).setAttribute("token", uuid);
            CookieUtil.addCookie(response, "token", uuid, 0);
        }

        boolean needRemoveSession = sec.needRemoveToken();
        if (needRemoveSession) {
            String serverToken = (String) request.getSession(false).getAttribute("token");
            Cookie c = CookieUtil.getCookieByName(request, "token");
             String clientToken = c.getValue();
            if (isRepeatSubmit(serverToken, clientToken)) {
                throw new ValidateException("请勿重复提交！");
            }
            //校验通过后从session中删除token 
            request.getSession(false).removeAttribute("token");
            if(null != memcachedCache) {
                //删除memcached锁
                memcachedCache.delete(serverToken);
            }
        }
        
    }
    
    private boolean isRepeatSubmit(String serverToken, String clientToken) {
        if (serverToken == null) {
            return true;
        }
        
        Calendar cal = Calendar.getInstance();
        cal.add(Calendar.MINUTE, 1);
        //memcached add 失败，即没有获取到锁，返回true
        if(null != memcachedCache && !memcachedCache.add(serverToken, 1, cal.getTime())) {
            return true;
        }
        
        if (clientToken == null) {
            return true;
        }
        if (!serverToken.equals(clientToken)) {
            return true;
        }
        return false;
    }
    
}

3.在spring dispatcher-servlet.xml中开启该注解

<aop:aspectj-autoproxy proxy-target-class="true">
    <aop:include name="avoidDuplicateSubmitAspect"/>
</aop:aspectj-autoproxy>
<bean id="avoidDuplicateSubmitAspect" class="com.xuehuifei.annotation.submit.AvoidDuplicateSubmitAspect"></bean>

4.接口层使用

//页面展现接口，添加生成token注解
@RequestMapping(value = "/{userId}", method = RequestMethod.GET)
@AvoidDuplicateSubmit(needSaveToken=true)
public @ResponseBody ResultObject list(HttpServletRequest request, HttpServletResponse response, @PathVariable Long userId) {
        ResultObject obj = new ResultObject();
        return obj;
}

//提交请求接口，添加删除token注解
@RequestMapping(method=RequestMethod.POST)   
@AvoidDuplicateSubmit(needRemoveToken=true)
public @ResponseBody ResultObject save(HttpServletRequest request, HttpServletResponse response, HostModel hostModel) {
        ResultObject obj = new ResultObject();      
        return obj;
}

ps：cookie保存token机制还设计到客户端禁用cookie的问题，该文章忽略这种情况。

http://www.xuehuifei.com/934.html

分享到：