Spring MVC拦截器+注解方式实现防止表单重复提交

表单重复提交是在多用户Web应用中最常见、带来很多麻烦的一个问题。有很多的应用场景都会遇到重复提交问题，比如：

1.点击提交按钮两次。
2.点击刷新按钮。
3.使用浏览器后退按钮重复之前的操作，导致重复提交表单。
4.使用浏览器历史记录重复提交表单。
5.浏览器重复的HTTP请求。

当然，解决该问题的方法不止一种，但是我这里推荐我使用的方法：拦截器+注解方式

基本的原理：

url请求时，用拦截器拦截，生成一个唯一的标识符（token），在新建页面中Session保存token随机码，当保存时验证，通过后删除，当再次点击保存时由于服务器端的Session中已经不存在了，所有无法验证通过。

一、自定义注解

package com.pengtu.gsj.interceptor;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
/**
 * 

 * 防止重复提交注解，用于方法上

 * 在新建页面方法上，设置save为true，此时拦截器会在Session中保存一个token，
 * 同时需要在新建的页面中添加
 * 
 * 

 * 保存方法需要验证重复提交的，设置remove为true
 * 此时会在拦截器中验证是否重复提交
 * 
 * @author: zl
 * @date: 2017-4-24下午4:24:02
 *
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Token {
	
	boolean save() default false;
	
	boolean remove() default false;

}

可能对自定义注解不是很了解，下面做一个说明：

首先要知道几个元注解：

元注解的作用就是负责注解其他注解。Java5.0定义了4个标准的meta-annotation类型，它们被用来提供对其它 annotation类型作说明。Java5.0定义的元注解：

1.@target

2.@Retention

3.Documented

4.@Inherited

@Target：

作用：用于描述注解的使用范围（即：被描述的注解可以用在什么地方）

取值(ElementType)有：

　　　　1.CONSTRUCTOR:用于描述构造器
　　　　2.FIELD:用于描述域
　　　　3.LOCAL_VARIABLE:用于描述局部变量
　　　　4.METHOD:用于描述方法
　　　　5.PACKAGE:用于描述包
　　　　6.PARAMETER:用于描述参数
　　　　7.TYPE:用于描述类、接口(包括注解类型) 或enum声明

@Retention：

作用：表示需要在什么级别保存该注释信息，用于描述注解的生命周期（即：被描述的注解在什么范围内有效）

取值（RetentionPoicy）有：

　　　　1.SOURCE:在源文件中有效（即源文件保留）
　　　　2.CLASS:在class文件中有效（即class保留）
　　　　3.RUNTIME:在运行时有效（即运行时保留）

@Inherited：

@interface自定义注解时，自动继承了java.lang.annotation.Annotation接口，由编译程序自动完成其他细节。在定义注解时，不能继承其他的注解或接口。@interface用来声明一个注解，其中的每一个方法实际上是声明了一个配置参数。方法的名称就是参数的名称，返回值类型就是参数的类型（返回值类型只能是基本类型、Class、String、enum）。可以通过default来声明参数的默认值。

定义注解格式：
　　public @interface 注解名 {定义体}

Annotation类型里面的参数该怎么设定: 
　　第一,只能用public或默认(default)这两个访问权修饰.例如,String value();这里把方法设为defaul默认类型；　 　
　　第二,参数成员只能用基本类型byte,short,char,int,long,float,double,boolean八种基本数据类型和 String,Enum,Class,annotations等数据类型,以及这一些类型的数组.例如,String value();这里的参数成员就为String;　　
　　第三,如果只有一个参数成员,最好把参数名称设为"value",后加小括号.例:下面的例子FruitName注解就只有一个参数成员。

二、新建拦截器

方法语句很简单，就没有添加注解。

package com.pengtu.gsj.interceptor;

import java.lang.reflect.Method;
import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.pengtu.gsj.entity.app.User;
import com.pengtu.gsj.utils.UserUtils;
import com.pengtu.gsj.utils.web.SpringMvcUtils;

public class AvoidDuplicateSubmissionInterceptor extends HandlerInterceptorAdapter {
	
	public static Logger logger = Logger.getLogger(AvoidDuplicateSubmissionInterceptor.class);

	@Override
	public boolean preHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler) throws Exception {
		
		User user = UserUtils.getUser();
		if (user != null) {
			HandlerMethod handlerMethod = (HandlerMethod) handler;
			Method method = handlerMethod.getMethod();
			Token annotation = method.getAnnotation(Token.class);
			if (annotation != null) {
				boolean needSaveSession = annotation.save();
				if (needSaveSession) {
					request.getSession(true).setAttribute("token",UUID.randomUUID().toString());
				}
				boolean needRemoveSession = annotation.remove();
				if (needRemoveSession) {
					if (isRepeatSubmit(request)) {
						logger.warn("please don't repeat submit,[user:" + user.getUsername() + ",url:"
                                + request.getServletPath() + "]");
						return false;
					}
					request.getSession(false).removeAttribute("token");
				}
			}
		}
		return true;
	}
	
	public boolean isRepeatSubmit (HttpServletRequest request) {
		String serverToken = (String) request.getSession(true).getAttribute("token");
		
		if (serverToken == null) {
			return true;
		}
		String clientToken = SpringMvcUtils.getParameter("token");
		if (clientToken == null) {
			return true;
		}
		if (!serverToken.equals(clientToken)) {
			return true;
		}
		return false;
	}

	
}

三、在springmvc中配置拦截器：

当然也可也在spring.xml中配置bean,我选择的是前者

四、在相关方法中加入注解：比如跳转到新增（查看）信息页面的方法前面需要添加@Token（save=true） 生成token，保存在页面中；在保存的方法前面添加@token（remove=true），检查session是否存在，存在即通过并删除token值

	@RequestMapping("input")
	@Token(save = true)
	public String showOrInputUserInfo(@ModelAttribute User user,Model model) {
		List allRoles = roleService.getAllRole();
		model.addAttribute("allRoles", allRoles);
		return "system/user_input";
	}

	@RequestMapping("savePerson")
	@Token(remove = true)
	public String savePersonInfo(@ModelAttribute User user, RedirectAttributes attributes) {
		userService.saveUser(user);
		UserUtils.putCache(UserUtils.CACHE_USER, user); //更新缓存里面当前用户信息
		attributes.addFlashAttribute("msg", "信息更新成功!");
		attributes.addAttribute("top",	SpringMvcUtils.getParameter("top"));
		attributes.addAttribute("left", SpringMvcUtils.getParameter("left"));
		return "redirect:/user/view.do";
	}

五、在新建页面中加入token

这样，防止重复提交的问题就解决了！谢谢各位的支持，期待交流！