上篇文章讲了验证码的制作,提及到了一个问题,就是表单重复提交的问题,可能在上次那个验证码中感觉不是那么的重要
现在我新写一个例子,转钱。通过这个例子你就知道表单重复提交有多恐怖了。
先来简单的介绍一下表单重复提交的3种现象
我们来一个个的实验,首先我们写两个东东,一个jsp,一个Servlet,jsp写了就不动了,Servlet会变化,我会在不同的现象下贴出代码
JSP:
<%@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head> <title>转账</title> </head> <body> <form action="/transform" method="post" > 转账金额:<input type="text" id="money" name="money" required> 元 <br> <input type="submit" value="注册"> </form> </body> </html>
Servlet我们会在不同的现象修改,下面直接看
1.服务器慢或者网络延迟,我们使用线程模拟一下
先看Servlet
package com.vae.RandomCode; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.io.PrintWriter; @WebServlet("/transform") public class TransformServlet extends HttpServlet { @Override protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { resp.setContentType("text/html;charset=utf-8"); PrintWriter out=resp.getWriter(); String money=req.getParameter("money"); try { Thread.sleep(1000); } catch (InterruptedException e) { e.printStackTrace(); } System.out.println("转出:" + money); out.println("转账成功"); } }
运行,如图:
我点击注册,其实是转账。。。。
然后应该出现一大串的转账100,但是不知道怎么回事,我用线程模拟的情况并没有出现转账多次,所以这里暂时疑惑
2.已经提交成功,不小心刷新了页面
(Servlet代码删了线程就行了)
我们点击一次
然后我不小心的刷新了几次页面
卧槽???啥情况?我就是不小心刷新了几次,就要我多转出去钱???明显不合理
3.已经提交成功了,我回退,再次点击提交,我就是这么的事多.....
我点
我回退
我再点
。。。。。这种情况也是不行的。。。。虽然是用户自己作死。。。。。但是还是要规避一下。。。。
通过上面3个例子,我们知道了表单重复提交的恐怖,特别是涉及到钱的方面。所以我们要想个办法来规避这种情况,怎么办呢?
想想,我们是不是通过两次请求就可以实现转账了,一次是JSP的按钮点击,一次是Servlet的获取数据,那么我们只需要保证我们每次的操作,都有这两次请求就可以了
解决方案:令牌机制
我听到这个令牌机制就想起了狄仁杰...其实令牌机制就是一个随机数UUID,和我们的验证码里面的那个是一样的。其原理是
我在JSP页面点击按钮发出第一次请求的时候,就把我的令牌(随机数)保存到Session里面,并且把令牌传给Servlet,然后在Servlet里面判断两个是否相等
如果相等,就ok,转账,然后立马销毁session里面的令牌,这样无论你再怎么刷新,session里面已经没有令牌了,肯定不能转账了
话说到此,我们来看看最终的代码
JSP:
<%@ page import="java.util.UUID" %> <%@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head> <title>转账</title> </head> <body> <% //生成一个令牌 String token=UUID.randomUUID().toString(); //存放在session中 session.setAttribute("TOKEN_IN_SESSION",token); %> <form action="/transform" method="post" > <input type="hidden" name="token" value="<%=token%>"> <!--这个hidden是隐藏起来不可见--> 转账金额:<input type="text" id="money" name="money" required> 元 <br> <input type="submit" value="注册"> </form> </body> </html>
Servlet:
package com.vae.RandomCode; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.io.PrintWriter; @WebServlet("/transform") public class TransformServlet extends HttpServlet { @Override protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //表单中的令牌 String tokenInRequest=req.getParameter("token"); //session中的令牌 String tokenInSession=req.getSession().getAttribute("TOKEN_IN_SESSION").toString(); //比较 if (tokenInRequest.equals(tokenInSession)) { //立马销毁session中的令牌再说 req.getSession().removeAttribute("TOKEN_IN_SESSION"); //然后干其他的事 resp.setContentType("text/html;charset=utf-8"); PrintWriter out=resp.getWriter(); String money=req.getParameter("money"); System.out.println("转出:" + money); out.println("转账成功"); }else { System.out.println("不让你转,重新去页面转吧"); } } }
运行一下,结果已经ok了,我们使用了令牌机制(就是一个随机数)实现了避免表单的重复提交。