Spring MVC 用拦截器+token防止重复提交

首先，防止用户重复提交有很多种方式，总体分为前端JS限制和后端限制，我个人认为后端限制比较妥当（本着能做到更优秀得理念，舍去了前端JS限制重复提交得想法）.

之前没有做过防止用户重复提交，所以直接百度了一大堆，竟然发现基本上可以归为2到3种真正不同实现得代码，文章虽然有很多，不过大部分代码几乎都出自同一人，想着这么多人用代码应该没问题，所以该复制复制，该手建手建，终于大工搞成，但是测试得时候发现了一个很重要得问题,永远处于重复提交状态，我得天啊，这就很尴尬了,于是赶紧打断点，F6F6F6,终于怀疑了一行代码，贴代码：

private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(true).getAttribute("token");
        if (serverToken == null) {
            return true;
        }
        String clinetToken = request.getParameter("token");//就是这行 NULL，永远是NULL。
        if (clinetToken == null) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }

嘿我就那了闷，怎么会接收不到值呢？肯定是页面有问题了，页面就只有一句话

<input type="hidden" value="${token}" />

我突然脑袋灵光一闪，通过name值传值必须在form表单里才行，我全是AJAX啊，于是赶紧在传递参数中加上token，问题也就顺利得结果了！

但是我就再想，这么多人复制原文得代码，然后发到自己得博客，难道没有出现这种问题嘛？

问题解决了，顺便总结一下token得使用方法，切记代码没问题，复制需谨慎（该改得记得改！）

首先自定义一个注解：

package com.dinfo.interceptor;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Token {

boolean save() default false;

boolean remove() default false;
}

接着实现一个拦截器借口：

package com.dinfo.interceptor;

import java.lang.reflect.Method;
import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

public class TokenInterceptor extends HandlerInterceptorAdapter {
    private static final Logger LOG = Logger.getLogger(Token.class);
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            Token annotation = method.getAnnotation(Token.class);
            if (annotation != null) {
                boolean needSaveSession = annotation.save();
                if (needSaveSession) {
                    request.getSession(true).setAttribute("token", UUID.randomUUID().toString());
                }
                boolean needRemoveSession = annotation.remove();
                if (needRemoveSession) {
                    if (isRepeatSubmit(request)) {
                        LOG.warn("please don't repeat submit,url:"+ request.getServletPath());
                        return false;
                    }
                    request.getSession(true).removeAttribute("token");
                }
            }
            return true;
        } else {
            return super.preHandle(request, response, handler);
        }
    }