通常在普通的操作當中，我們不需要處理重復提交的，而且有很多方法來防止重復提交。比如在登陸過程中，通過使用redirect，可以讓用戶登陸之上重定向到后臺首頁界面，當用戶刷新界面時就不會觸發(fā)重復提交了?；蛘呤褂胻oken，隱藏在表單中，當提交時進行token驗證，驗證失敗也不讓提交。這都是一般的做法。

    我們這次碰到的問題是重復提交本身就是一個錯誤，重復提交會導致一些相關數據的邏輯不再正確。而這些重復提交并不是通過普通的刷新界面，或者兩次點擊按鈕來進行的。在普通的操作當中，我們可以通過一系列的手段，使得相應參數被清零，從而防止數據上的不正確。但是，在一種情況下，這些手段都不再有效，那就是并發(fā)的重復提交。
    并發(fā)重復提交，那就是在同一時間內（時間間隔可以縮短到0.X秒之內），在這種情況下，所有的常規(guī)邏輯都不再有效，因為多個請求，同時進入系統(tǒng)，系統(tǒng)已不能判斷出這些請求是否是無效的，它們同時通過常規(guī)的重復邏輯判斷，并最終在同一時間內將數據寫入到數據庫中，引起數據錯誤。

    舉一個簡單的例子，在系統(tǒng)中銷售一個商品，首先通過該商品id進入到系統(tǒng)邏輯判斷，判斷此商品是否已售出，如果未售出，就進行數據存取操作。商品是否售出，是一個邏輯判斷，是驗證數據存儲到數據庫的一道門。在常規(guī)的判斷當中，前一請求通過這道門之后，后一請求就不能通過了，因為驗證為false。但在并發(fā)請求中，兩個或多個請求同時通過了這道門，因為都是同時進入到判斷，在判斷之前都驗證商品沒有被售出，所以就同時進入到數據的存儲當中。

    在常規(guī)的java開發(fā)中，對于這種情況，臨界資源，通常是使用加鎖來保證這種情況的先后順序。但是加鎖有一個問題即是，它是對于全局信息的加鎖，即對整個將要銷售的商品進行加鎖了。對于BS應用來說，我們必須保證另一個操作人員的同一種商品的銷售請求通過，即只限制同一個操作人員銷售的并發(fā)請求，不限制多個操作人員不同請求的處理。
    在這種情況下，我們的加鎖就不能簡單的鎖定在商品上，而是要鎖定在與操作人員有關的信息上，這就是session。

    session是一個在單個操作人員整個操作過程中，與服務器端保持通信的惟一識別信息。在同一操作人員的多次請求當中，session始終保證是同一個對象，而不是多個對象，因為可以對其加鎖。當同一操作人員多個請求進入時，可以通過session限制只能單向通行。
    本文正是通過使用session以及在session中加入token，來驗證同一個操作人員是否進行了并發(fā)重復的請求，在后一個請求到來時，使用session中的token驗證請求中的token是否一致，當不一致時，被認為是重復提交，將不準許通過。
    整個流程可以由如下流程來表述：

1. 客戶端申請token
2. 服務器端生成token，并存放在session中，同時將token發(fā)送到客戶端
3. 客戶端存儲token，在請求提交時，同時發(fā)送token信息
4. 服務器端統(tǒng)一攔截同一個用戶的所有請求，驗證當前請求是否需要被驗證（不是所有請求都驗證重復提交）
5. 驗證session中token是否和用戶請求中的token一致，如果一致則放行
6. session清除會話中的token，為下一次的token生成作準備
7. 并發(fā)重復請求到來，驗證token和請求token不一致，請求被拒絕

    由以上的流程，我們整個實現需要以下幾個東西

1. token生成器，負責生成token
2. 客戶token請求處理action，負責處理客戶請求，并返回token信息
3. token攔截器，用于攔截指定的請求是否需要驗證token
4. token請求攔截標識，用于標識哪些請求是需要被攔截的
5. 客戶端token請求處理方法，用于請求token，并存放于特定操作中，并在提交時發(fā)送到請求中

    token生成器
    token生成器在這里使用了一個隨機數來實現，即隨機生成一個數字，即實現token生成，如下所示：

    token請求處理action
    請求處理action，即接收相應的請求，然后直接返回相對應的token即可，如下即為一個為ajax請求生成token的處理action:

    token請求攔截標識
    攔截標識，即表示哪些方法需要被攔截，這里可以使用注解來實現，即在要攔截的方法上追加類似@TokenNeed的注解，或者使用配置文件，將需要攔截的方法列表記錄在配置文件中，在本文中，使用了一個配置文件來記錄

    token攔截器
    token攔截器實現了我們所需要的攔截處理，在當碰到需要攔截的方法請求中，將同步進行token的判斷和處理，并根據處理結果判斷是否該繼續(xù)放行或攔截之：

    如上即是判斷處理的方法是否在攔截列表中，如果是，則取得參數中的token，再將其與session中的token相比，如果不一致，則直接返回fail，隨后將其從session中移除。

    客戶端token實現
    作為客戶端，只需要在進行請求提交之前申請一個token，在請求時，將此token加到請求中即可。在本文中，有一個jquery的ajax方法來處理token請求，隨后在進行ajax請求時將此token一起加入到param。如下即為token的jquery請求

    即在處理時將接收到的token放到window中，要提交請求時再將其從window中取出，一并提交即可，如下的統(tǒng)一ajax處理方法：

    至此，整個防session Token請求即完成。如果在客戶端模擬多個請求中，首先會有一個請求被成功處理，其它的請求即直接返回類似“不能重復提交”的錯誤警告（對于ajax請求）。