当前位置:小鱼儿玄机二站 > 计算机网络 > MVC幸免重复提交最好实践,php客商登陆验证cook

MVC幸免重复提交最好实践,php客商登陆验证cook

文章作者:计算机网络 上传时间:2019-10-03

查看了不少资料。也想了很多,总结一下!

防止表单重复提交是个老生常谈的问题,有些框架层面已经有实现,比如Struts2中的token,但Spring MVC中并未找到相应的功能,只能自己实现。

 

 

php高性能高流量用户登录验证机制用cookie 还是 session?

网上搜索“Spring MVC防止重复提交”,会有一大推的案例实现,但多数都存在以下几个问题或者不便:

一、cookie 区别session?

  1. 防止重复提交页面需要添加隐藏域,类似<input type=”hidden” name=”token” value=”${token}”>,如果页面很多,会是一个体力活;
  2. 如果后台服务时分布式的,放入session中的值如何在另一台服务器获取;
  3. 多服务器多实例部署后,多个请求同时验证,有同时通过验证的可能,比如A服务器和B服务器都去Redis中验证是否存在token,同时通过验证后再保存操作,也会出现重复提交的问题。

cookie客户端;

针对以上问题,我们先进行分析一下:

session存在服务器端;

  1. token机制肯定是服务器端产生的并且需要传递给客户端,然后客户端提交请求时带着该token。那有什么机制能保证不改客户端的代码,访问服务器时自动带上token,答案是利用cookie机制;当服务器产生token后,放入cookie,该token自动保存到客户端的cookie,客户端提交请求时,会默认带着所有的cookie信息。
  2. 针对该问题还是有好多解决方法,方法一:我们可以把token存入到一个公共地方,比如Redis,memcached中(需要考虑多用户同时生成token问题,放入规则可以userId+token);方法二:使用插件做到session共享,这样多个服务器都能获取同样的session。
  3. 第三个问题是典型的分布式锁问题,同一时刻不能2个线程去校验,否则会出现同时验证通过的问题。

session安全。

以下是代码实现,基础框架参照的网上示例,session使用了插件做了session共享;分布式锁,由于使用的是memcached,所以使用memcached的add方式实现分布式锁(参照)。

 

 

二、session在分布式上存在难点。

实现步骤:

这一点memcache可能会解决一些。但如果不用memcache,解决起来问题大.

  1. 新建注解

 

三、session在生存周期上不如cookie方便。

/**
 * <p>
 * 防止重复提交注解,用于方法上<br/>
 * 在新建页面方法上,设置needSaveToken()为true,此时拦截器会在Session中保存一个token,
 * 同时需要在新建的页面中添加
 * <input type="hidden" name="token" value="${token}">
 * <br/>
 * 保存方法需要验证重复提交的,设置needRemoveToken为true
 * 此时会在拦截器中验证是否重复提交
 * </p>
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Component
public @interface AvoidDuplicateSubmit {
    boolean needSaveToken() default false;
    boolean needRemoveToken() default false;
}

 

 

四、用cookie的最大问题是服务器需要二次验证。如果用session验证,不如用session,查表也是一样。

    2.定义切面(处理逻辑)

      这里如果cookie不需要服务器端二次验证,则效率会大幅提高。 估计discuz就是这种思路。

 

 

@Aspect
@Component
public class AvoidDuplicateSubmitAspect {

    @Autowired(required=false)
    private SessionServiceImpl sessionService;
    private static ICacheService<?> cacheService = CacheFactory.getCache();
    private static IMemcachedCache memcachedCache = null;

    static {
        if(cacheService instanceof RemoteCacheServiceImpl) {
            memcachedCache = ((RemoteCacheServiceImpl)cacheService).getCache();
        }
    }


    @Before("@annotation(sec)")
    public void execute(JoinPoint jp,AvoidDuplicateSubmit sec) { 
        //JoinPoint会获取到注解所在方法的参数
        Object[] args = jp.getArgs();
        //使用该注解的方法参数第一个必须是HttpServletRequest,第二个必须是HttpServletResponse  
        HttpServletRequest request = (HttpServletRequest) args[0];
        HttpServletResponse response = (HttpServletResponse) args[1];

        boolean needSaveSession = sec.needSaveToken();
        if (needSaveSession) {
            String uuid = UUID.randomUUID().toString();
            request.getSession(false).setAttribute("token", uuid);
            CookieUtil.addCookie(response, "token", uuid, 0);
        }

        boolean needRemoveSession = sec.needRemoveToken();
        if (needRemoveSession) {
            String serverToken = (String) request.getSession(false).getAttribute("token");
            Cookie c = CookieUtil.getCookieByName(request, "token");
             String clientToken = c.getValue();
            if (isRepeatSubmit(serverToken, clientToken)) {
                throw new ValidateException("请勿重复提交!");
            }
            //校验通过后从session中删除token 
            request.getSession(false).removeAttribute("token");
            if(null != memcachedCache) {
                //删除memcached锁
                memcachedCache.delete(serverToken);
            }
        }

    }

    private boolean isRepeatSubmit(String serverToken, String clientToken) {
        if (serverToken == null) {
            return true;
        }

        Calendar cal = Calendar.getInstance();
        cal.add(Calendar.MINUTE, 1);
        //memcached add 失败,即没有获取到锁,返回true
        if(null != memcachedCache && !memcachedCache.add(serverToken, 1, cal.getTime())) {
            return true;
        }

        if (clientToken == null) {
            return true;
        }
        if (!serverToken.equals(clientToken)) {
            return true;
        }
        return false;
    }

}

五 session和cookie结合使用问题。这又分成上述各点。

    

    3.在spring dispatcher-servlet.xml中开启该注解

 

<aop:aspectj-autoproxy proxy-target-class="true">
    <aop:include name="avoidDuplicateSubmitAspect"/>
</aop:aspectj-autoproxy>
<bean id="avoidDuplicateSubmitAspect" class="com.xuehuifei.annotation.submit.AvoidDuplicateSubmitAspect"></bean>

   

    4.接口层使用

 

//页面展现接口,添加生成token注解
@RequestMapping(value = "/{userId}", method = RequestMethod.GET)
@AvoidDuplicateSubmit(needSaveToken=true)
public @ResponseBody ResultObject list(HttpServletRequest request, HttpServletResponse response, @PathVariable Long userId) {
        ResultObject obj = new ResultObject();
        return obj;
}

//提交请求接口,添加删除token注解
@RequestMapping(method=RequestMethod.POST)   
@AvoidDuplicateSubmit(needRemoveToken=true)
public @ResponseBody ResultObject save(HttpServletRequest request, HttpServletResponse response, HostModel hostModel) {
        ResultObject obj = new ResultObject();      
        return obj;
}  

 

ps:cookie保存token机制还设计到客户端禁用cookie的问题,该文章忽略这种情况。

 

本文由小鱼儿玄机二站发布于计算机网络,转载请注明出处:MVC幸免重复提交最好实践,php客商登陆验证cook

关键词: