使用struts的同步令牌避免form的重复提交

struts1避免重复提交

一、使用方法

1、 假如你要提交的页面为toSubmit.jsp；

2、 在打开toSubmit.jsp的Action1中加入：saveToken(request)，例如

public ActionForward execute(
ActionMapping mapping,
ActionForm form,
HttpServletRequest request,
HttpServletResponse response)
throws Exception {
//生成同步令牌
saveToken(request);
return mapping.findForward("toSubmit");
}

3、 在提交toSubmit.jsp的Action2中加入：isTokenValid(request, true)，例如：

public ActionForward execute(
ActionMapping mapping,
ActionForm form,
HttpServletRequest request,
HttpServletResponse response)
throws Exception {
// 验证同步令牌
if (isTokenValid(request, true)) {
//执行提交操作
}else {
// 重复提交
return mapping.findForward("Error");
}
}

4、 使用注意：toSubmit.jsp中的form必须使用struts的标签<html:form>。

二、基本原理

第一步、在session中放入同步令牌

在Action1中加入了saveToken(request)的方法后，调用TokenProcessor类的saveToken方法如下：

public synchronized void saveToken(HttpServletRequest request) {
HttpSession session = request.getSession();
String token = generateToken(request);
if (token != null) {
session.setAttribute(Globals.TRANSACTION_TOKEN_KEY, token);
}
}

很明显在session中放入了同步令牌，名称为Globals.TRANSACTION_TOKEN_KEY。

第二步、在页面创建hidden元素

当应用服务器初始化toSubmit.jsp页面遇到标签<html:form>时，便会调用struts的FormTag类，其中有一个方法：

protected String renderToken() {
StringBuffer results = new StringBuffer();
HttpSession session = pageContext.getSession();

if (session != null) {
String token =
(String) session.getAttribute(Globals.TRANSACTION_TOKEN_KEY);

if (token != null) {
results.append("<input type=\"hidden\" name=\"");
results.append(Constants.TOKEN_KEY);
results.append("\" value=\"");
results.append(token);
if (this.isXhtml()) {
results.append("\" />");
} else {
results.append("\">");
}
}
}

return results.toString();
}

其意为：当检测到session中的Globals.TRANSACTION_TOKEN_KEY不为空时，在toSubmit.jsp页面创建元素：

<input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="">

名称为：org.apache.struts.taglib.html.TOKEN就是Constants.TOKEN_KEY；

值为：session中的Globals.TRANSACTION_TOKEN_KEY的值，即为同步令牌值。

第三步、验证同步令牌

在Action2中加入isTokenValid方法，实际上是调用TokenProcessor类的isTokenValid方法如下：

public synchronized boolean isTokenValid(
HttpServletRequest request,
boolean reset) {

// Retrieve the current session for this request
HttpSession session = request.getSession(false);
if (session == null) {
return false;
}

// Retrieve the transaction token from this session, and
// reset it if requested
String saved = (String) session.getAttribute(Globals.TRANSACTION_TOKEN_KEY);
if (saved == null) {
return false;
}

if (reset) {
this.resetToken(request);
}

// Retrieve the transaction token included in this request
String token = request.getParameter(Constants.TOKEN_KEY);
if (token == null) {
return false;
}

return saved.equals(token);
}

它首先取得session中的令牌值，然后resetToken，再从页面hidden元素取来令牌值，进行比较，如果相等则为第一次，不等则为重复提交。

其中resetToken方法如下：

public synchronized void resetToken(HttpServletRequest request) {
HttpSession session = request.getSession(false);
if (session == null) {
return;
}
session.removeAttribute(Globals.TRANSACTION_TOKEN_KEY);
}

struts2避免重复提交

struts2使用拦截器来检查表单是否重复提交，它采用同步令牌的方式来实现对表单重复提交的判断。

首先需要在表单中使用

<s:token name="user.token"></s:token>

<s:token>标签创建一个新的令牌值，并用你所指定的令牌名把令牌保存到session中。而这个令牌值是随即产生的经过加密的字符序列，不会重复。struts2使用拦截器来检查表单是否重复提交，它采用同步令牌的方式来实现对表单重复提交的判断。

其次需要为action配置TokenInterceptor或者TokenSessionStoreInterceptor拦截器。这两个拦截器都已经在struts-default.xml中定义，但没有包含在defaultStack拦截器栈中。

1、使用TokenInterceptor在action中配置拦截器和在重复提交时，将要请求导向的结果视图。

<action name="register" class="com.zhaosoft.action.RegisterAction">
<!-- 配置异常映射，当RegisterAction抛出Exception异常时，向用户显示error.jsp页面 -->
<exception-mapping result="error" exception="java.lang.Exception"/>
<result name="invalid.token">/WEB-INF/pages/register.jsp</result>
<result name="input">/WEB-INF/pages/register.jsp</result>
<result name="success">/WEB-INF/pages/success.jsp</result>
<result name="error">/WEB-INF/pages/error.jsp</result>
<interceptor-ref name="defaultStack">
<param name="workflow.excludeMethods">default</param>
</interceptor-ref>
<interceptor-ref name="token">
<param name="excludeMethods">default</param>
</interceptor-ref>
</action>

注：excludeMethods指定要排除的方法。

在register.jsp页面中添加action级别的错误信息显示的标签：<s:actionerror/>

在form中添加<s:token>标签：<s:token name="user.token"></s:token>

最好为在资源文件中设置键struts.messages.invalid.token的本地化消息。

struts.messages.invalid.token=您已经提交了表单，请不要重复提交。

2、TokenSessionStoreInterceptor：

使用TokenSessionStoreInterceptor拦截器同样能避免重复提交，TokenSessionStoreInterceptor集成自TokenInterceptor。与上面的TokenInterceptor区别在于使用TokenSessionStoreInterceptor将不会输出任何错误信息。如果token无效，请求被导向到invalid.token结果码映射的视图。

配置如下：

<interceptor-ref name="tokenSession">
<param name="excludeMethods">default</param>
</interceptor-ref>