Springboot 中實(shí)現(xiàn)重復(fù)提交驗(yàn)證功能

在Spring Boot中實(shí)現(xiàn)重復(fù)提交驗(yàn)證功能通常使用Token或者防重復(fù)提交注解的方式。以下是一些實(shí)現(xiàn)重復(fù)提交驗(yàn)證的示例代碼和邏輯說(shuō)明：

防止重復(fù)提交的Token驗(yàn)證是一種常見(jiàn)的Web應(yīng)用程序安全措施，用于確保用戶(hù)提交的表單數(shù)據(jù)不會(huì)被重復(fù)提交。這種方法可以有效防止多次提交相同的表單數(shù)據(jù)，通常是通過(guò)在用戶(hù)每次請(qǐng)求中包含一個(gè)唯一的標(biāo)識(shí)（Token）來(lái)實(shí)現(xiàn)。

以下是Token驗(yàn)證的邏輯說(shuō)明：

1. 生成Token： 在用戶(hù)第一次訪(fǎng)問(wèn)表單頁(yè)面或者執(zhí)行某個(gè)操作時(shí)，服務(wù)器會(huì)生成一個(gè)唯一的Token。這個(gè)Token可以是隨機(jī)生成的字符串或者一個(gè)特定的加密散列值。通常，這個(gè)Token會(huì)存儲(chǔ)在會(huì)話(huà)(session)或者表單隱藏字段中。
2. Token存儲(chǔ)： 生成的Token會(huì)被存儲(chǔ)在服務(wù)器端或者會(huì)話(huà)中。服務(wù)器會(huì)將Token關(guān)聯(lián)到用戶(hù)的會(huì)話(huà)，以便在后續(xù)的請(qǐng)求中進(jìn)行驗(yàn)證。
3. 表單提交： 當(dāng)用戶(hù)提交表單或執(zhí)行某個(gè)敏感操作時(shí)，表單數(shù)據(jù)中會(huì)包含Token。這個(gè)Token可以作為表單字段或者請(qǐng)求頭的一部分發(fā)送給服務(wù)器。
4. 驗(yàn)證Token： 服務(wù)器接收請(qǐng)求后，會(huì)驗(yàn)證Token的有效性。驗(yàn)證的方式通常是檢查請(qǐng)求中的Token與服務(wù)器存儲(chǔ)的Token是否匹配。
5. 處理請(qǐng)求： 如果Token驗(yàn)證成功，服務(wù)器會(huì)處理請(qǐng)求（例如保存表單數(shù)據(jù)，執(zhí)行操作等）。如果Token無(wú)效或者已經(jīng)被使用過(guò)，服務(wù)器會(huì)拒絕請(qǐng)求，防止重復(fù)提交。
6. 清除Token： 一旦請(qǐng)求被成功處理，服務(wù)器通常會(huì)從會(huì)話(huà)中刪除Token，以防止后續(xù)重復(fù)提交。

Token驗(yàn)證的核心思想是確保每個(gè)請(qǐng)求都包含一個(gè)獨(dú)一無(wú)二的Token，而且每個(gè)Token只能使用一次。這樣，即使用戶(hù)多次點(diǎn)擊提交按鈕或者誤操作，也不會(huì)導(dǎo)致表單數(shù)據(jù)被多次提交。

這種方法有助于提高應(yīng)用程序的安全性，尤其是在涉及金融交易、表單提交或者敏感操作的情況下，可以有效防止重復(fù)提交和CSRF（跨站請(qǐng)求偽造）攻擊。

防止重復(fù)提交的Token驗(yàn)證：

首先，可以創(chuàng)建一個(gè)Token并將其存儲(chǔ)在會(huì)話(huà)(session)或者表單隱藏字段中。當(dāng)用戶(hù)提交請(qǐng)求時(shí)，驗(yàn)證Token的有效性，如果Token有效，處理請(qǐng)求，否則拒絕請(qǐng)求。

@Controller
public class MyController {

    @GetMapping("/myform")
    public String myForm(Model model, HttpSession session) {
        // 生成一個(gè)隨機(jī)Token并存儲(chǔ)在會(huì)話(huà)中
        String token = UUID.randomUUID().toString();
        session.setAttribute("csrfToken", token);
        model.addAttribute("csrfToken", token);
        return "myform";
    }

    @PostMapping("/submitForm")
    public String submitForm(@RequestParam("csrfToken") String csrfToken, HttpSession session) {
        // 驗(yàn)證Token是否有效
        String storedToken = (String) session.getAttribute("csrfToken");
        if (storedToken != null && storedToken.equals(csrfToken)) {
            // 處理表單提交
            // 清除Token，防止重復(fù)提交
            session.removeAttribute("csrfToken");
            return "success";
        } else {
            // Token無(wú)效，拒絕請(qǐng)求
            return "error";
        }
    }
}

使用防重復(fù)提交注解：

使用AOP（面向切面編程）來(lái)實(shí)現(xiàn)防重復(fù)提交驗(yàn)證是一種高度模塊化和可維護(hù)的方法，可以幫助我們?cè)诙鄠€(gè)控制器方法中應(yīng)用相同的防重復(fù)提交邏輯。以下是使用AOP實(shí)現(xiàn)防重復(fù)提交驗(yàn)證的邏輯說(shuō)明：

創(chuàng)建自定義注解： 首先，需要?jiǎng)?chuàng)建一個(gè)自定義注解，以標(biāo)記需要進(jìn)行防重復(fù)提交驗(yàn)證的控制器方法。這個(gè)注解可以起名為@PreventDuplicateSubmission（或自定義的名稱(chēng)）。

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface PreventDuplicateSubmission {
}

編寫(xiě)AOP切面： 接下來(lái)，創(chuàng)建一個(gè)AOP切面來(lái)攔截帶有@PreventDuplicateSubmission注解的方法。切面會(huì)在方法執(zhí)行之前攔截請(qǐng)求，并執(zhí)行防重復(fù)提交驗(yàn)證邏輯。

@Aspect
@Component
public class PreventDuplicateSubmissionAspect {

    @Autowired
    private HttpServletRequest request;

    @Around("@annotation(com.example.PreventDuplicateSubmission)")
    public Object preventDuplicateSubmission(ProceedingJoinPoint joinPoint) throws Throwable {
        // 從請(qǐng)求中獲取Token
        String token = request.getParameter("csrfToken");

        if (token != null) {
            if (isTokenValid(token)) {
                // Token有效，繼續(xù)執(zhí)行方法
                return joinPoint.proceed();
            } else {
                // Token無(wú)效，拒絕請(qǐng)求或執(zhí)行相應(yīng)的處理
                return "error";
            }
        } else {
            // Token不存在，拒絕請(qǐng)求或執(zhí)行相應(yīng)的處理
            return "error";
        }
    }

    private boolean isTokenValid(String token) {
        // 驗(yàn)證Token的有效性，可以根據(jù)需要添加驗(yàn)證邏輯
        // 通常，Token的有效性會(huì)和用戶(hù)會(huì)話(huà)相關(guān)
        // 可以使用會(huì)話(huà)(session)或者其他存儲(chǔ)方式來(lái)管理Token
        // 返回true表示Token有效，返回false表示Token無(wú)效
    }
}

在控制器方法中使用注解： 在需要防止重復(fù)提交的控制器方法上使用自定義的@PreventDuplicateSubmission注解。

@Controller
public class MyController {

    @PreventDuplicateSubmission
    @PostMapping("/submitForm")
    public String submitForm() {
        // 處理表單提交
        return "success";
    }
}

Token驗(yàn)證邏輯： 在AOP切面中，使用isTokenValid方法來(lái)驗(yàn)證Token的有效性。這個(gè)方法可以根據(jù)具體需求來(lái)實(shí)現(xiàn)，通常涉及與用戶(hù)會(huì)話(huà)相關(guān)的驗(yàn)證邏輯。

總的來(lái)說(shuō)，AOP通過(guò)將通用的防重復(fù)提交驗(yàn)證邏輯從控制器方法中分離出來(lái)，提高了代碼的可維護(hù)性和重用性。這種方法有助于保護(hù)應(yīng)用程序免受重復(fù)提交和CSRF攻擊的威脅，并可以在整個(gè)應(yīng)用程序中輕松地應(yīng)用。

示例中完整代碼，可以從下面網(wǎng)址獲?。?/p>

https://gitee.com/jlearning/wechatdemo.git

https://github.com/icoderoad/wxdemo.git