Struts2中重复提交表单分析

原因：Struts2提交表单完成添加数据等操作后，再去刷新页面会弹出警告，提示信息会再次被提交（同样的表单数据）

解决：在action中配置拦截器
1.需要在提交数据的表单<form> 内增加<s:token></s:token>
在jsp的from标签里加入<s:token/>防重复提交标签，<s:token/> 生成如下的内容：(struts.token.name 标识哪个隐藏域存了 token 值)

注意：按页面的刷新按钮是刷新上一次请求，再次提交是新一次请求 所以即使提交了转到新的页面，再按刷新也是上一次请求，会重复提交数据（token值是旧的，session中与之对应的值已经被删除），而按form里面的提交按钮是新的请求（不会重复提交表单，会提交新的表单token值是新的）

  <input type="hidden" name="struts.token.name" value="struts.token"/>     <input type="hidden" name="struts.token" value="7GXL55LPSGU19SDC9D3VP54I20XT3BVA"/>

注意自定义的表单域别重名了。它的作用是防止表单重复提交，每次加载页面 struts.token 的值都不一样，如果两次提交时该值一样，则认为是重复提交。此时要启用 TokenInterceptor(token) 拦截器，最好是也启用 TokenSessionStoreInterceptor(token-session) 拦截器
2.action标签内配置拦截器
（1）可以在父类package的action标签内配置全局拦截器栈

    <package name="allAccess" namespace="" extends="struts-default">        <interceptors>   <!--定义拦截器栈-->              <interceptor-stack name="myStack">         <!-- 需要在action的声明中，为action添加token拦截器，因为token拦截器不在defaultStack拦截器栈中，        注意，需要将拦截器放在拦截器栈的第一位，这是因为判断表单是否被重复提交的逻辑应该在表单处理前。 -->                  <interceptor-ref name="token"/>                  <interceptor-ref name="tokenSession">              <!--只拦截update方法-->                <param name="includeMethods">update</param>               </interceptor-ref>                  <interceptor-ref name="defaultStack"/>   <!--调用默认拦截器-->                     </interceptor-stack>            </interceptors>           <default-interceptor-ref name="myStack">        </default-interceptor-ref><!--把默认的拦截器栈改为自定义的-->        <global-results>            <result name="login">                /Longin.jsp            </result>            <result name="main">                /Main.jsp            </result>        </global-results>    </package>

（2）可以单独为一个action标签配置拦截器。

<struts>    <!-- Add packages here -->    <package name="teacher" namespace="/teacher" extends="allAccess">        <action name="*" class="action.TeacherAction" method="{1}">        <!-- 需要在action的声明中，为action添加token拦截器，因为token拦截器不在defaultStack拦截器栈中，        注意，需要将拦截器放在拦截器栈的第一位，这是因为判断表单是否被重复提交的逻辑应该在表单处理前。 -->            <interceptor-ref name="token"/>               <interceptor-ref name="tokenSession"></interceptor-ref>            <interceptor-ref name="defaultStack"></interceptor-ref>            <!-- 如果重复提交，不会跳转到error.jsp页面 -->            <result name="main">/Teacheradmin.jsp</result>            <result name="invalid.token">/error.jsp</result>         </action>    </package></struts>

注意：Struts2在防止表单重复提交的拦截有2个，token与tokenSession，tokenSession继承于token，当使用token时候需要额外加上表单重复提交跳转错误页面的result
token、token-session 和 defaultStack 的顺序要保证，还需要加上名为 “invalid.token” 的 result，当发现重复提交时转向到这个逻辑页，如 /error.jsp，在 /error.jsp 加上 <s:actionerror /> 在出现重复提交时就会提示：The form has already been processed or no token was supplied, please try again.

<result name="invalid.token">/error.jsp</result> 

tokenSession不需要加错误跳转页面，它直接不跳转。

后台如何对比session里面的token与前端的token的方法实现

    /**     * Checks for a valid transaction token in the current request params. If a valid token is found, it is     * removed so the it is not valid again.     *     * @return false if there was no token set into the params (check by looking for {@link #TOKEN_NAME_FIELD}), true if a valid token is found     */    public static boolean validToken() {        String tokenName = getTokenName();        if (tokenName == null) {            if (LOG.isDebugEnabled()) {                LOG.debug("no token name found -> Invalid token ");            }            return false;        }        String token = getToken(tokenName);        if (token == null) {            if (LOG.isDebugEnabled()) {                LOG.debug("no token found for token name "+tokenName+" -> Invalid token ");            }            return false;        }        Map session = ActionContext.getContext().getSession();        String tokenSessionName = buildTokenSessionAttributeName(tokenName);        String sessionToken = (String) session.get(tokenSessionName);        if (!token.equals(sessionToken)) {            if (LOG.isWarnEnabled()) {                LOG.warn(LocalizedTextUtil.findText(TokenHelper.class, "struts.internal.invalid.token", ActionContext.getContext().getLocale(), "Form token {0} does not match the session token {1}.", new Object[]{                        token, sessionToken                }));            }            return false;        }        // remove the token so it won't be used again        session.remove(tokenSessionName);        return true;    }

主要是取得前端页面的token（通过token域指向token参数）的值
其次再到session里面利用token参数取得它的值
二者比较，相同则session里移除这个token的值
其次新的token生成依靠自带的token生成方法，并存储于session中，当新转向页面时标签回到session中取得token的值放在前端中以便下次和session中比较

token生成时值是存储在一个数组当中，每次生成一个token就存储在数组末端，当token匹配成功会删掉数组中第一个元素，以便后面元素向前收缩（索引），原本在第一个元素后面的元素的索引就变成了第一。

注意注意注意！

经过本人实践在自定义拦截器中，要加上拦截器所需要拦截的方法，不加不可以（适用于利用通配符配置action情况）

         <interceptors>  <!--定义自定义拦截器栈 -->            <interceptor-stack name="myStack">  <!--                <interceptor-ref name="token">                     <param name="includeMethods">save</param>                </interceptor-ref>token或tokensession两个拦截器选其一-->            <interceptor-ref name="tokenSession">                <param name="includeMethods">save,update</param>            </interceptor-ref>              <interceptor-ref name="defaultStack" />                           </interceptor-stack>           </interceptors>           <default-interceptor-ref name="myStack" />    <!--引用自定义拦截器栈 -->        

注意可以指定拦截多个方法，或不拦截多个方法

   <!-- includeMethods表示包含指定的方法，即对标记为includeMethods的方法进行拦截 -->    <param name="includeMethods">saveCinema,saveCinemaAndtoAddScreen,updateCinema</param>    <!--  定义被排除的方法名，也就是你action中不被这个拦截器拦截的方法名  -->    <param name="excludeMethods"></param>     -->

原理

让服务器生成一个唯一标记，并在服务器和表单里各保存一份这个标记的副本。此后，在用户提交表单的时候，表单里的标记将随着其他请求参数一起发送到服务器，服务器将对他收到的标记和它留存的标记进行比较。如果两者匹配，这次提交的表单被认为是有效的，在处理完该请求后，且在答复发送给客户端之前，将会产生一个新的令牌，该令牌除传给客户端以外，也会将用户会话中保存的旧的令牌进行替换。这样如果用户回退到刚才的提交页面并再次提交的话，客户端传过来的令牌就和服务器端的令牌不一致，从而有效地防止了重复提交的发生。