SpringBoot 中實(shí)現(xiàn)重復(fù)提交驗(yàn)證功能說明及示例程序
Springboot 中實(shí)現(xiàn)重復(fù)提交驗(yàn)證功能
在Spring Boot中實(shí)現(xiàn)重復(fù)提交驗(yàn)證功能通常使用Token或者防重復(fù)提交注解的方式。以下是一些實(shí)現(xiàn)重復(fù)提交驗(yàn)證的示例代碼和邏輯說明:
防止重復(fù)提交的Token驗(yàn)證是一種常見的Web應(yīng)用程序安全措施,用于確保用戶提交的表單數(shù)據(jù)不會(huì)被重復(fù)提交。這種方法可以有效防止多次提交相同的表單數(shù)據(jù),通常是通過在用戶每次請(qǐng)求中包含一個(gè)唯一的標(biāo)識(shí)(Token)來實(shí)現(xiàn)。
以下是Token驗(yàn)證的邏輯說明:
- 生成Token: 在用戶第一次訪問表單頁(yè)面或者執(zhí)行某個(gè)操作時(shí),服務(wù)器會(huì)生成一個(gè)唯一的Token。這個(gè)Token可以是隨機(jī)生成的字符串或者一個(gè)特定的加密散列值。通常,這個(gè)Token會(huì)存儲(chǔ)在會(huì)話(session)或者表單隱藏字段中。
- Token存儲(chǔ): 生成的Token會(huì)被存儲(chǔ)在服務(wù)器端或者會(huì)話中。服務(wù)器會(huì)將Token關(guān)聯(lián)到用戶的會(huì)話,以便在后續(xù)的請(qǐng)求中進(jìn)行驗(yàn)證。
- 表單提交: 當(dāng)用戶提交表單或執(zhí)行某個(gè)敏感操作時(shí),表單數(shù)據(jù)中會(huì)包含Token。這個(gè)Token可以作為表單字段或者請(qǐng)求頭的一部分發(fā)送給服務(wù)器。
- 驗(yàn)證Token: 服務(wù)器接收請(qǐng)求后,會(huì)驗(yàn)證Token的有效性。驗(yàn)證的方式通常是檢查請(qǐng)求中的Token與服務(wù)器存儲(chǔ)的Token是否匹配。
- 處理請(qǐng)求: 如果Token驗(yàn)證成功,服務(wù)器會(huì)處理請(qǐng)求(例如保存表單數(shù)據(jù),執(zhí)行操作等)。如果Token無效或者已經(jīng)被使用過,服務(wù)器會(huì)拒絕請(qǐng)求,防止重復(fù)提交。
- 清除Token: 一旦請(qǐng)求被成功處理,服務(wù)器通常會(huì)從會(huì)話中刪除Token,以防止后續(xù)重復(fù)提交。
Token驗(yàn)證的核心思想是確保每個(gè)請(qǐng)求都包含一個(gè)獨(dú)一無二的Token,而且每個(gè)Token只能使用一次。這樣,即使用戶多次點(diǎn)擊提交按鈕或者誤操作,也不會(huì)導(dǎo)致表單數(shù)據(jù)被多次提交。
這種方法有助于提高應(yīng)用程序的安全性,尤其是在涉及金融交易、表單提交或者敏感操作的情況下,可以有效防止重復(fù)提交和CSRF(跨站請(qǐng)求偽造)攻擊。
防止重復(fù)提交的Token驗(yàn)證:
首先,可以創(chuàng)建一個(gè)Token并將其存儲(chǔ)在會(huì)話(session)或者表單隱藏字段中。當(dāng)用戶提交請(qǐng)求時(shí),驗(yàn)證Token的有效性,如果Token有效,處理請(qǐng)求,否則拒絕請(qǐng)求。
@Controller
public class MyController {
@GetMapping("/myform")
public String myForm(Model model, HttpSession session) {
// 生成一個(gè)隨機(jī)Token并存儲(chǔ)在會(huì)話中
String token = UUID.randomUUID().toString();
session.setAttribute("csrfToken", token);
model.addAttribute("csrfToken", token);
return "myform";
}
@PostMapping("/submitForm")
public String submitForm(@RequestParam("csrfToken") String csrfToken, HttpSession session) {
// 驗(yàn)證Token是否有效
String storedToken = (String) session.getAttribute("csrfToken");
if (storedToken != null && storedToken.equals(csrfToken)) {
// 處理表單提交
// 清除Token,防止重復(fù)提交
session.removeAttribute("csrfToken");
return "success";
} else {
// Token無效,拒絕請(qǐng)求
return "error";
}
}
}使用防重復(fù)提交注解:
使用AOP(面向切面編程)來實(shí)現(xiàn)防重復(fù)提交驗(yàn)證是一種高度模塊化和可維護(hù)的方法,可以幫助我們?cè)诙鄠€(gè)控制器方法中應(yīng)用相同的防重復(fù)提交邏輯。以下是使用AOP實(shí)現(xiàn)防重復(fù)提交驗(yàn)證的邏輯說明:
創(chuàng)建自定義注解: 首先,需要?jiǎng)?chuàng)建一個(gè)自定義注解,以標(biāo)記需要進(jìn)行防重復(fù)提交驗(yàn)證的控制器方法。這個(gè)注解可以起名為@PreventDuplicateSubmission(或自定義的名稱)。
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface PreventDuplicateSubmission {
}編寫AOP切面: 接下來,創(chuàng)建一個(gè)AOP切面來攔截帶有@PreventDuplicateSubmission注解的方法。切面會(huì)在方法執(zhí)行之前攔截請(qǐng)求,并執(zhí)行防重復(fù)提交驗(yàn)證邏輯。
@Aspect
@Component
public class PreventDuplicateSubmissionAspect {
@Autowired
private HttpServletRequest request;
@Around("@annotation(com.example.PreventDuplicateSubmission)")
public Object preventDuplicateSubmission(ProceedingJoinPoint joinPoint) throws Throwable {
// 從請(qǐng)求中獲取Token
String token = request.getParameter("csrfToken");
if (token != null) {
if (isTokenValid(token)) {
// Token有效,繼續(xù)執(zhí)行方法
return joinPoint.proceed();
} else {
// Token無效,拒絕請(qǐng)求或執(zhí)行相應(yīng)的處理
return "error";
}
} else {
// Token不存在,拒絕請(qǐng)求或執(zhí)行相應(yīng)的處理
return "error";
}
}
private boolean isTokenValid(String token) {
// 驗(yàn)證Token的有效性,可以根據(jù)需要添加驗(yàn)證邏輯
// 通常,Token的有效性會(huì)和用戶會(huì)話相關(guān)
// 可以使用會(huì)話(session)或者其他存儲(chǔ)方式來管理Token
// 返回true表示Token有效,返回false表示Token無效
}
}在控制器方法中使用注解: 在需要防止重復(fù)提交的控制器方法上使用自定義的@PreventDuplicateSubmission注解。
@Controller
public class MyController {
@PreventDuplicateSubmission
@PostMapping("/submitForm")
public String submitForm() {
// 處理表單提交
return "success";
}
}Token驗(yàn)證邏輯: 在AOP切面中,使用isTokenValid方法來驗(yàn)證Token的有效性。這個(gè)方法可以根據(jù)具體需求來實(shí)現(xiàn),通常涉及與用戶會(huì)話相關(guān)的驗(yàn)證邏輯。
總的來說,AOP通過將通用的防重復(fù)提交驗(yàn)證邏輯從控制器方法中分離出來,提高了代碼的可維護(hù)性和重用性。這種方法有助于保護(hù)應(yīng)用程序免受重復(fù)提交和CSRF攻擊的威脅,并可以在整個(gè)應(yīng)用程序中輕松地應(yīng)用。
示例中完整代碼,可以從下面網(wǎng)址獲取:
