Struts的Token(令牌)機(jī)制能夠很好的解決表單重復(fù)提交的問題,基本原理是:服務(wù)器端在處理到達(dá)的請(qǐng)求之前,會(huì)將請(qǐng)求中包含的令牌值與保存在當(dāng)前用戶會(huì)話中的令牌值進(jìn)行比較,看是否匹配。在處理完該請(qǐng)求后,且在答復(fù)發(fā)送給客戶端之前,將會(huì)產(chǎn)生一個(gè)新的令牌,該令牌除傳給客戶端以外,也會(huì)將用戶會(huì)話中保存的舊的令牌進(jìn)行替換。這樣如果用戶回退到剛才的提交頁面并再次提交的話,客戶端傳過來的令牌就和服務(wù)器端的令牌不一致,從而有效地防止了重復(fù)提交的發(fā)生。
這時(shí)其實(shí)也就是兩點(diǎn),第一:你需要在請(qǐng)求中有這個(gè)令牌值,請(qǐng)求中的令牌值如何保存,其實(shí)就和我們平時(shí)在頁面中保存一些信息是一樣的,通過隱藏字段來保存,保存的形式如: 〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,這個(gè)value是TokenProcessor類中的generateToken()獲得的,是根據(jù)當(dāng)前用戶的session id和當(dāng)前時(shí)間的long值來計(jì)算的。第二:在客戶端提交后,我們要根據(jù)判斷在請(qǐng)求中包含的值是否和服務(wù)器的令牌一致,因?yàn)榉?wù)器每次提交都會(huì)生成新的Token,所以,如果是重復(fù)提交,客戶端的Token值和服務(wù)器端的Token值就會(huì)不一致。下面就以在數(shù)據(jù)庫中插入一條數(shù)據(jù)來說明如何防止重復(fù)提交。
在Action中的add方法中,我們需要將Token值明確的要求保存在頁面中,只需增加一條語句:saveToken(request);,如下所示:
public?ActionForward?add(ActionMapping?mapping,?ActionForm?form,
HttpServletRequest?request,?HttpServletResponse?response)
//前面的處理省略
saveToken(request);
return?mapping.findForward("add");
}在Action的insert方法中,我們根據(jù)表單中的Token值與服務(wù)器端的Token值比較,如下所示:
public?ActionForward?insert(ActionMapping?mapping,?ActionForm?form,
HttpServletRequest?request,?HttpServletResponse?response)
if?(isTokenValid(request,?true))?
{
//?表單不是重復(fù)提交
//這里是保存數(shù)據(jù)的代碼
}?else?{
//表單重復(fù)提交
saveToken(request);
//其它的處理代碼
}
}
其實(shí)使用起來很簡(jiǎn)單,舉個(gè)最簡(jiǎn)單、最需要使用這個(gè)的例子:
一般控制重復(fù)提交主要是用在對(duì)數(shù)據(jù)庫操作的控制上,比如插入、更新、刪除等,由于更新、刪除一般都是通過id來操作(例如:updateXXXById, removeXXXById),所以這類操作控制的意義不是很大(不排除個(gè)別現(xiàn)象),重復(fù)提交的控制也就主要是在插入時(shí)的控制了。
先說一下,我們目前所做項(xiàng)目的情況:
目前的項(xiàng)目是用Struts+Spring+I(xiàn)batis,頁面用jstl,Struts復(fù)雜View層,Spring在Service層提供事務(wù)控制,Ibatis是用來代替JDBC,所有頁面的訪問都不是直接訪問jsp,而是訪問Structs的Action,再由Action來Forward到一個(gè)Jsp,所有針對(duì)數(shù)據(jù)庫的操作,比如取數(shù)據(jù)或修改數(shù)據(jù),都是在Action里面完成,所有的Action一般都繼承BaseDispatchAction,這個(gè)是自己建立的類,目的是為所有的Action做一些統(tǒng)一的控制,在Struts層,對(duì)于一個(gè)功能,我們一般分為兩個(gè)Action,一個(gè)Action里的功能是不需要調(diào)用Struts的驗(yàn)證功能的(常見的方法名稱有add,edit,remove,view,list),另一個(gè)是需要調(diào)用Struts的驗(yàn)證功能的(常見的方法名稱有insert,update)。
就拿論壇發(fā)貼來說吧,論壇發(fā)貼首先需要跳轉(zhuǎn)到一個(gè)頁面,你可以填寫帖子的主題和內(nèi)容,填寫完后,單擊“提交”,貼子就發(fā)表了,所以這里經(jīng)過兩個(gè)步驟:
1、轉(zhuǎn)到一個(gè)新增的頁面,在Action里我們一般稱為add,例如:
public?ActionForward?add(ActionMapping?mapping,?ActionForm?form,
HttpServletRequest?request,?HttpServletResponse?response)
throws?Exception?{
//這一句是輸出調(diào)試信息,表示代碼執(zhí)行到這一段了
log.debug("::?action?-?subject?add");
//your?code?here
//這里保存Token值
saveToken(request);
//跳轉(zhuǎn)到add頁面,在Structs-config.xml里面定義,例如,跳轉(zhuǎn)到subjectAdd.jsp
return?mapping.findForward("add");
}
2、在填寫標(biāo)題和內(nèi)容后,選擇 提交 ,會(huì)提交到insert方法,在insert方法里判斷,是否重復(fù)提交了。
public?ActionForward?insert(ActionMapping?mapping,?ActionForm?form,
HttpServletRequest?request,?HttpServletResponse?response){
if?(isTokenValid(request,?true))?{
//?表單不是重復(fù)提交
//這里是保存數(shù)據(jù)的代碼
}?else?{
//表單重復(fù)提交
saveToken(request);
//其它的處理代碼
}
}
下面更詳細(xì)一點(diǎn)(注意,下面所有的代碼使用全角括號(hào)):
1、你想發(fā)貼時(shí),點(diǎn)擊“我要發(fā)貼”鏈接的代碼可以里這樣的:
〈html:link action="subject.do?method=add"〉我要發(fā)貼〈/html:link〉
subject.do 和 method 這些在struct-config.xml如何定義我就不說了,點(diǎn)擊鏈接后,會(huì)執(zhí)行subject.do的add方法,代碼如上面說的,跳轉(zhuǎn)到subjectAdd.jsp頁面。頁面的代碼大概如下:
〈html:form?action="subjectForm.do?method=insert"〉
〈html:text?property="title"?/〉
〈html:textarea?property="content"?/〉
〈html:submit?property="發(fā)表"?/〉
〈html:reset?property="重填"?/〉
〈html:form〉 如果你在add方法里加了“saveToken(request);”這一句,那在subjectAdd.jsp生成的頁面上,會(huì)多一個(gè)隱藏字段,類似于這樣〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,
2、點(diǎn)擊發(fā)表后,表單提交到subjectForm.do里的insert方法后,你在insert方法里要將表單的數(shù)據(jù)插入到數(shù)據(jù)庫中,如果沒有進(jìn)行重復(fù)提交的控制,那么每點(diǎn)擊一次瀏覽器的刷新按鈕,都會(huì)在數(shù)據(jù)庫中插入一條相同的記錄,增加下面的代碼,你就可以控制用戶的重復(fù)提交了。
if?(isTokenValid(request,?true))?{
//?表單不是重復(fù)提交
//這里是保存數(shù)據(jù)的代碼
}?else?{
//表單重復(fù)提交
saveToken(request);
//其它的處理代碼
}
注意,你必須在add方法里使用了saveToken(request),你才能在insert里判斷,否則,你每次保存操作都是重復(fù)提交。
記住一點(diǎn),Struts在你每次訪問Action的時(shí)候,都會(huì)產(chǎn)生一個(gè)令牌,保存在你的Session里面,如果你在Action里的函數(shù)里面,使用了saveToken(request);,那么這個(gè)令牌也會(huì)保存在這個(gè)Action所Forward到的jsp所生成的靜態(tài)頁面里。
如果你在你Action的方法里使用了isTokenValid,那么Struts會(huì)將你從你的request里面去獲取這個(gè)令牌值,然后和Session里的令牌值做比較,如果兩者相等,就不是重復(fù)提交,如果不相等,就是重復(fù)提交了。
由于我們項(xiàng)目的所有Action都是繼承自BaseDispatchAction這個(gè)類,所以我們基本上都是在這個(gè)類里面做了表單重復(fù)提交的控制,默認(rèn)是控制add方法和insert方法,如果需要控制其它的方法,就自己手動(dòng)寫上面這些代碼,否則是不需要手寫的,控制的代碼如下:
public?abstract?class?BaseDispatchAction?extends?BaseAction?{
protected?ActionForward?perform(ActionMapping?mapping,?ActionForm?form,
HttpServletRequest?request,?HttpServletResponse?response)
throws?Exception?{
String?parameter?=?mapping.getParameter();
String?name?=?request.getParameter(parameter);
if?(null?==?name)?{?//如果沒有指定?method?,則默認(rèn)為?list
name?=?"list";
}
if?("add".equals(name))?{
if?("add".equals(name))?{
saveToken(request);
}
}?else?if?("insert".equals(name))?{
if?(!isTokenValid(request,?true))?{
resetToken(request);
saveError(request,?new?ActionMessage("error.repeatSubmit"));
log.error("重復(fù)提交!");
return?mapping.findForward("error");
}
}
return?dispatchMethod2(mapping,?form,?request,?response,?name);
}
}