Struts的Token（令牌）機制能夠很好的解決表單重復(fù)提交的問題，基本原理是：服務(wù)器端在處理到達的請求之前，會將請求中包含的令牌值與保存在當(dāng)前用戶會話中的令牌值進行比較，看是否匹配。在處理完該請求后，且在答復(fù)發(fā)送給客戶端之前，將會產(chǎn)生一個新的令牌，該令牌除傳給客戶端以外，也會將用戶會話中保存的舊的令牌進行替換。這樣如果用戶回退到剛才的提交頁面并再次提交的話，客戶端傳過來的令牌就和服務(wù)器端的令牌不一致，從而有效地防止了重復(fù)提交的發(fā)生。

這時其實也就是兩點，第一：你需要在請求中有這個令牌值，請求中的令牌值如何保存，其實就和我們平時在頁面中保存一些信息是一樣的，通過隱藏字段來保存，保存的形式如： 〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉，這個value是TokenProcessor類中的generateToken()獲得的，是根據(jù)當(dāng)前用戶的session id和當(dāng)前時間的long值來計算的。第二：在客戶端提交后，我們要根據(jù)判斷在請求中包含的值是否和服務(wù)器的令牌一致，因為服務(wù)器每次提交都會生成新的Token，所以，如果是重復(fù)提交，客戶端的Token值和服務(wù)器端的Token值就會不一致。下面就以在數(shù)據(jù)庫中插入一條數(shù)據(jù)來說明如何防止重復(fù)提交。

在Action中的add方法中，我們需要將Token值明確的要求保存在頁面中，只需增加一條語句：saveToken(request);，如下所示：
public ActionForward add(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
//前面的處理省略
saveToken(request);
return mapping.findForward("add");
}在Action的insert方法中，我們根據(jù)表單中的Token值與服務(wù)器端的Token值比較，如下所示：
public ActionForward insert(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
if (isTokenValid(request, true)) {
// 表單不是重復(fù)提交
//這里是保存數(shù)據(jù)的代碼
} else {
//表單重復(fù)提交
saveToken(request);
//其它的處理代碼
}
}

222222222222222222222222222222222222222222222222222222222222222222222

1。重復(fù)提交、重復(fù)刷新的場景
重復(fù)提交、重復(fù)刷新都是來解決系統(tǒng)重復(fù)記錄的問題。也就是說某個人在多次的提交某條記錄（為什么？也許是閑了沒有事情干的;最有可能是用戶根本就不知道自己的提交結(jié)果是否已經(jīng)執(zhí)行了？！）。

但出現(xiàn)了這樣的問題并不見得就必須處理，要看你所開發(fā)的系統(tǒng)的類別而定。比如你接手的是某個資源管理系統(tǒng)，系統(tǒng)本身從需求的角度根本就不允許出現(xiàn)"重復(fù)"的記錄，在這樣需求的約束條件下，去執(zhí)行重復(fù)的提交動作只會引發(fā)“業(yè)務(wù)級異常”的產(chǎn)生，根本就不可能執(zhí)行成功也就無所謂避免不避免的問題了。

?

2。防止后退的場景
了解了重復(fù)刷新、重復(fù)提交的場景，我們來了解一下"防止后退"操作的原因是什么？比如你在開發(fā)某個投票系統(tǒng)，它有很多的步驟，并且這些步驟之間是有聯(lián)系的，比如第一步會將某些信息發(fā)送給第二步，第二步緩存了這些信息，同時將自身的信息發(fā)送給了第三步。。。。。等等，如果此時用戶處在第三步驟下，我們想象一下某個淘氣用戶的用戶點擊了后退按鈕，此時屏幕出現(xiàn)了第二步驟的頁面，他再次的修改或者再次的提交，進入到下一個步驟（也就是第三步驟），錯誤就會在此產(chǎn)生？！什么錯誤呢？最為典型的就是這樣的操作直接導(dǎo)致了對于第一個步驟信息的丟失！（如果這樣的信息是依靠Request存放的話，當(dāng)然你可以存放在Session或者更大的上下文環(huán)境中，但這不是個好主意！關(guān)于信息存放的問題，下次在就這個問題詳細的討論）

三。如何處理的問題
當(dāng)然很多的系統(tǒng)（比如訂票系統(tǒng)從需求上本身是允許個人重復(fù)訂票的）是必須要避免重復(fù)刷新、重復(fù)提交、以及防止后退的問題的，但即使是這樣的問題，也要區(qū)分如何處理以及在哪里處理的（網(wǎng)上只是告訴你如何處理，但很少去區(qū)分在哪里處理的），顯然處理的方式無非是客戶端或者服務(wù)器端兩種，而面對不同的位置處理的方式也是不同的，但有一點要事先聲明：任何客戶端（尤其是B/S端）的處理都是不可信任的，最好的也是最應(yīng)該的是服務(wù)器端的處理方法。

客戶端處理：
面對客戶端我們可以使用Javascript腳本來解決，如下

1。重復(fù)刷新、重復(fù)提交
Ways One：設(shè)置一個變量，只允許提交一次。
<script language="javascript">
??? var checkSubmit*** = false;
??? function checkSubmit() {
????? if (checkSubmit*** == true) {
???????? return false;
????? }
????? checkSubmit*** = true;
????? return true;
?? }
?? document.ondblclick = function docondblclick() {
??? window.event.returnValue = false;
?? }
?? document.onclick = function doconclick() {
?????? if (checkSubmit***) {
???????? window.event.returnValue = false;
?????? }
?? }
</script>
<html:form action="myAction.do" method="post" onsubmit="return checkSubmit();">

Way Two : 將提交按鈕或者image置為disable
? <html:form action="myAction.do" method="post"?
??? onsubmit="getElById('submitInput').disabled = true; return true;">??
? <html:image styleId="submitInput" src="images/ok_b.gif" border="0" />
? </html:form>?

2。防止用戶后退
這里的方法是千姿百態(tài)，有的是更改瀏覽器的歷史紀錄的，比如使用window.history.forward()方法;有的是“用新頁面的URL替換當(dāng)前的歷史紀錄，這樣瀏覽歷史記錄中就只有一個頁面，后退按鈕永遠不會變?yōu)榭捎谩！北热缡褂胘avascript:location.replace(this.href); event.returnValue=false;

2.服務(wù)器端的處理（這里只說Struts框架的處理）
利用同步令牌（Token）機制來解決Web應(yīng)用中重復(fù)提交的問題，Struts也給出了一個參考實現(xiàn)。

基本原理：
服務(wù)器端在處理到達的請求之前，會將請求中包含的令牌值與保存在當(dāng)前用戶會話中的令牌值進行比較，
看是否匹配。在處理完該請求后，且在答復(fù)發(fā)送給客戶端之前，將會產(chǎn)生一個新的令牌，該令牌除傳給
客戶端以外，也會將用戶會話中保存的舊的令牌進行替換。這樣如果用戶回退到剛才的提交頁面并再次
提交的話，客戶端傳過來的令牌就和服務(wù)器端的令牌不一致，從而有效地防止了重復(fù)提交的發(fā)生。

if (isTokenValid(request, true)) {
??? // your code here
??? return mapping.findForward("success");
} else {
??? saveToken(request);
??? return mapping.findForward("submitagain");
}

Struts根據(jù)用戶會話ID和當(dāng)前系統(tǒng)時間來生成一個唯一（對于每個會話）令牌的，具體實現(xiàn)可以參考
TokenProcessor類中的generateToken()方法。

1. //驗證事務(wù)控制令牌,<html:form >會自動根據(jù)session中標識生成一個隱含input代表令牌，防止兩次提交
2. 在action中：

?????? //<input type="hidden" name="org.apache.struts.taglib.html.TOKEN"?
?????? //? value="6aa35341f25184fd996c4c918255c3ae">
?????? if (!isTokenValid(request))
?????????? errors.add(ActionErrors.GLOBAL_ERROR,
????????????????????? new ActionError("error.transaction.token"));
?????? resetToken(request); //刪除session中的令牌

3. action有這樣的一個方法生成令牌
?? protected String generateToken(HttpServletRequest request) {
?????? HttpSession session = request.getSession();
?????? try {
?????????? byte id[] = session.getId().getBytes();
?????????? byte now[] =
?????????????? new Long(System.currentTimeMillis()).toString().getBytes();
?????????? MessageDigest md = MessageDigest.getInstance("MD5");
?????????? md.update(id);
?????????? md.update(now);
?????????? return (toHex(md.digest()));
?????? } catch (IllegalStateException e) {
?????????? return (null);
?????? } catch (NoSuchAlgorithmException e) {
?????????? return (null);
?????? }
?? }?

總結(jié)
對于重復(fù)提交、重復(fù)刷新、防止后退等等都是屬于系統(tǒng)為避免重復(fù)記錄而需要解決的問題，在客戶端去處理需要針對每一種的可能提出相應(yīng)的解決方案，然而在服務(wù)器端看來只不過是對于數(shù)據(jù)真實性的檢驗問題，基于令牌的處理就是一勞永逸的方法。

同時我們也看到，從不同的角度去看待問題，其解決的方法也是不同的。客戶端更追求的是用戶的操作，而服務(wù)端則將注意力放在了數(shù)據(jù)的處理上，所以在某個對于服務(wù)器端看似容易的問題上，用客戶端來解決卻麻煩了很多！反之依然。所以在某些問題的處理上我們需要綜合考慮和平衡，是用客戶端來解決？還是用服務(wù)器端來處理