用Struts的Token机制解决表单重复提交

Sat, 17 Jun 2006 13:23:00 GMT

Struts的Token�Q��o牌）机制能够很好的解册��单重复提交的问题�Q�基本原理是�Q�服务器端在处理到达的请求之前，会将��h��中包含的令牌��g��保存在当前用户会话中的��o牌��D��行比较，看是否匹配。在处理完该��h��后，且在�{�复发送给客户端之前，��会产生一个新的��o牌，该��o牌除传给客户端以外，也会��用户会话中保存的旧的��o牌进行替换。这样如果用户回退到刚才的提交��面�q�再�ơ提交的话，客户端传�q�来的��o牌就和服务器端的令牌不一��_��从而有效地防止了重复提交的发生�?br />　　
　　�q�时其实也就是两点，�W�一�Q�你需要在��h��中有�q�个令牌��|��h��中的令牌值如何保存，其实��和我们�q�x��在页面中保存一些信息是一��L��Q�通过隐藏字段来保存，保存的�Ş式如�Q?〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉，�q�个value是TokenProcessor�c�M��的generateToken()获得的，是根据当前用��L��session id和当前时间的long值来计算的。第二：在客��L��提交后，我们要根据判断在��h��中包含的值是否和服务器的令牌一��_��因�ؓ服务器每�ơ提交都会生成新的Token�Q�所以，如果是重复提交，客户端的Token值和服务器端的Token值就会不一致。下面就以在数据库中插入一条数据来说明如何防止重复提交�?br />　　
　　在Action中的add�Ҏ(gu��)��中，我们需要将Token值明��的要求保存在页面中�Q�只需增加一条语句：saveToken(request);�Q�如下所�C�：

public ActionForward add(ActionMapping mapping, ActionForm form,
　　
　　HttpServletRequest request, HttpServletResponse response)
　　
　　//前面的处理省�?/span>
　　
　　saveToken(request);
　　
　　return mapping.findForward("add");
　　
　　}在Action的insert�Ҏ(gu��)��中，我们�Ҏ(gu��)��表单中的Token��g��服务器端的Token值比较，如下所�C�：
　　
　　public ActionForward insert(ActionMapping mapping, ActionForm form,
　　
　　HttpServletRequest request, HttpServletResponse response)
　　
　　if (isTokenValid(request, true)) {
　　
　　// 表单不是重复提交
　　
　　//�q�里是保存数据的代码
　　
　　} else {
　　
　　//表单重复提交
　　
　　saveToken(request);
　　
　　//其它的处理代�?/span>
　　
　　}
　　
　　}

其实使用��h��很简单，举个最��单、最需要��用这个的例子�Q?br />　　
　　一般控刉��复提交主要是用在�Ҏ(gu��)��据库操作的控制上�Q�比如插入、更新、删除等�Q�由于更新、删除一般都是通过id来操作（例如�Q�updateXXXById, removeXXXById�Q�，所以这�c�L��作控制的意义不是很大�Q�不排除个别现象�Q�，重复提交的控制也��׃��要是在插入时的控制了�?br />　　
　　先说一下，我们目前所做项目的情况�Q?br />　　
　　目前的项目是用Struts�Q�Spring�Q�Ibatis�Q�页面用jstl�Q�Struts复杂View层，Spring在Service层提供事务控�Ӟ��Ibatis是用来代替JDBC�Q�所有页面的讉K��都不是直接访问jsp�Q�而是讉K��Structs的Action�Q�再由Action来Forward��C��个Jsp�Q�所有针�Ҏ(gu��)��据库的操作，比如取数据或修改数据�Q�都是在Action里面完成�Q�所有的Action一般都�l�承BaseDispatchAction�Q�这个是自己建立的类�Q�目的是为所有的Action做一些统一的控�Ӟ��在Struts层，对于一个功能，我们一般分��Z��个Action�Q�一个Action里的功能是不需要调用Struts的验证功能的�Q�常见的�Ҏ(gu��)��名称有add,edit,remove,view,list�Q�，另一个是需要调用Struts的验证功能的�Q�常见的�Ҏ(gu��)��名称有insert,update�Q��?br />　　
　　��拿论坛发脓(chu��ng)来说吧，论坛发脓(chu��ng)首先需要蟩转到一个页面，你可以填写帖子的主题和内容，填写完后�Q�单几Z��提交”，贴子��发表了�Q�所以这里经�q�两个步骤：
　　
　　1、�{��C��个新增的��面�Q�在Action里我们一般称为add�Q�例如：

public ActionForward add(ActionMapping mapping, ActionForm form,
　　
　　HttpServletRequest request, HttpServletResponse response)
　　
　　throws Exception {
　　
　　//�q�一句是输出调试信息�Q�表�C�Z��码执行到�q�一�D�了
　　
　　log.debug(":: action - subject add");
　　
　　//your code here
　　
　　//�q�里保存Token�?/span>
　　
　　saveToken(request);
　　
　　//跌��{到add��面�Q�在Structs-config.xml里面定义�Q�例如，跌��{到subjectAdd.jsp
　　
　　return mapping.findForward("add");
　　
　　}

2、在填写标题和内容后�Q�选择提交 �Q�会提交到insert�Ҏ(gu��)��Q�在insert�Ҏ(gu��)��里判断，是否重复提交了�?br />

public ActionForward insert(ActionMapping mapping, ActionForm form,
　　
　　HttpServletRequest request, HttpServletResponse response){
　　
　　if (isTokenValid(request, true)) {
　　
　　// 表单不是重复提交
　　
　　//�q�里是保存数据的代码
　　
　　} else {
　　
　　//表单重复提交
　　
　　saveToken(request);
　　
　　//其它的处理代�?/span>
　　
　　}
　　
　　}

下面更详�l�一点（注意�Q�下面所有的代码使用全角括号�Q�：
　　
　　1、你惛_��贴时�Q�点几Z��我要发贴”链接的代码可以里这��L��Q?br />　　
　　〈html:link action="subject.do?method=add"〉我要发贴�?html:link�?br />　　
　　subject.do �?method �q�些在struct-config.xml如何定义我就不说了，点击链接后，会执行subject.do的add�Ҏ(gu��)��Q�代码如上面说的�Q�蟩转到subjectAdd.jsp��面。页面的代码大概如下�Q?br />

　　〈html:form action="subjectForm.do?method=insert"�?br />　　
　　〈html:text property="title" /�?br />　　
　　〈html:textarea property="content" /�?br />　　
　　〈html:submit property="发表" /�?br />　　
　　〈html:reset property="重填" /�?br />　　
　　〈html:form�?/span>

如果你在add�Ҏ(gu��)��里加了“saveToken(request);”这一句，那在subjectAdd.jsp生成的页面上�Q�会多一个隐藏字�D�，�c�M��于这栗��input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉，
　　
　　2、点��d��表后�Q�表单提交到subjectForm.do里的insert�Ҏ(gu��)��后，你在insert�Ҏ(gu��)��里要��表单的数据插入到数据库中，如果没有�q�行重复提交的控�Ӟ��那么每点��M��ơ浏览器的刷新按钮，都会在数据库中插入一条相同的记录�Q�增加下面的代码�Q�你��可以控制用��L��重复提交了�?br />

if (isTokenValid(request, true)) {
　　
　　// 表单不是重复提交
　　
　　//�q�里是保存数据的代码
　　
　　} else {
　　
　　//表单重复提交
　　
　　saveToken(request);
　　
　　//其它的处理代�?/span>
　　
　　}

注意�Q�你必须在add�Ҏ(gu��)��里��用了saveToken(request)�Q�你才能在insert里判断，否则�Q�你每次保存操作都是重复提交�?br />　　
　　��C��一点，Struts在你每次讉K��Action的时候，都会产生一个��o牌，保存在你的Session里面�Q�如果你在Action里的函数里面�Q��用了saveToken(request);�Q�那么这个��o牌也会保存在�q�个Action所Forward到的jsp所生成的静态页面里�?br />　　
　　如果你在你Action的方法里使用了isTokenValid�Q�那么Struts会将你从你的request里面去获取这个��o牌��|��然后和Session里的令牌值做比较�Q�如果两者相�{�，��׃��是重复提交，如果不相�{�，��是重复提交了�?br />　　
　　�׃��我们��目的所有Action都是�l�承自BaseDispatchAction�q�个�c�，所以我们基本上都是在这个类里面做了表单重复提交的控�Ӟ��默认是控制add�Ҏ(gu��)��和insert�Ҏ(gu��)��Q�如果需要控制其它的�Ҏ(gu��)��Q�就自己手动写上面这些代码，否则是不需要手写的�Q�控制的代码如下�Q?br />

public abstract class BaseDispatchAction extends BaseAction {
　　
　　protected ActionForward perform(ActionMapping mapping, ActionForm form,
　　
　　HttpServletRequest request, HttpServletResponse response)
　　
　　throws Exception {
　　
　　String parameter = mapping.getParameter();
　　
　　String name = request.getParameter(parameter);
　　
　　if (null == name) { //如果没有指定 method �Q�则默认为 list
　　
　　name = "list";
　　
　　}
　　
　　if ("add".equals(name)) {
　　
　　if ("add".equals(name)) {
　　
　　saveToken(request);
　　
　　}
　　
　　} else if ("insert".equals(name)) {
　　
　　if (!isTokenValid(request, true)) {
　　
　　resetToken(request);
　　
　　saveError(request, new ActionMessage("error.repeatSubmit"));
　　
　　log.error("重复提交�Q?/span>");
　　
　　return mapping.findForward("error");
　　
　　}
　　
　　}
　　
　　return dispatchMethod2(mapping, form, request, response, name);
　　
　　}
　　
　　}

方佳�?/a> 2006-06-17 21:23 发表评论

Wed, 01 Feb 2006 03:48:00 GMT

摘要: �q�个例子是通过用Struts的FormFile来写入到MySQL中。。。用用户通过选一个图片，然后按submit��可以存入数据库中其中先要徏立一个表:create table test ( name varchar(20), pic blob );在MySQL的test库中 1<%@&n... 阅读全文

方佳�?/a> 2006-02-01 11:48 发表评论

久久精品一区二区三区不卡免费视频 ,77777影视视频在线观看 ,日韩三级视频

用Struts的Token机制解决表单重复提交