devbox
Monodyee
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

互联网金融系统——交易防重设计实战

作者:Monodyee | 2024-03-14 13:08:19

互联网金融系统——交易防重设计实战

为什么需要防范重复提交呢?举个最直接的栗子:你在商城里买了7888元的iphone x,付款后页面卡顿导致你重复点击了付款按钮,这时候如果后端不加重复交易验证的话,相当于付款15766元买了Iphone x手机,划算吧?

不单是互金系统交易时会生产此问题,凡涉及表单提交都会遇到,这里以某互金系统为例说明交易防重的过程设计。下图是交易防重设计的示图:

640?wx_fmt=png

这个过程相信大家都不陌生,生活中随处可见。开封菜的甜品站,先付款,再给小票,拿着小票到取餐口拿甜品,交易完成后,小票撕毁。这就是一个典型的防止重复取餐的例子。

回到上图,来深入了解一下这个过程:

  • 1、在进入到需要防重交易的表单页面之前,请求后端生成token的服务,生成token并存储在后端,与该用户的请求绑定,便于后期在交易验证时与之比对,token返回到交易页面。

  • 2、携带token提交表单,在进入真正交易之前,做token验证(比如使用AOP),如果存在,则token正常,比对成功后销毁进入正常的交易功能。如果不存在,则证明token已经被销毁,为重复提交请求。

以上步骤可以看出token的关键性,若token获取失败,那么交易将无法完成,所以需要保证token服务的高可用性。

以上过程针对一个交易是完全没有问题的,但若涉及两个以上的关键交易提交时,就会出现后请求的交易获取的token替换首次交易获取的token,那么在首次交易提交时,会出现token找不到的情况,导致交易失败。由此引出另外两个关键的问题点:

token的数量以及token的销毁机制。 数量决定了能同时发起交易的数量,所以token的数量最好能够覆盖所有关键交易同时发起来的数量。token的销毁决定了使用token的正常顺序。

基于上面流程,我们再改造一下生成token的模块。

640?wx_fmt=png

关键示例代码:

  1. //TOKEN对象	
  2. @Data	
  3. public class TokenVO implements Serializable {	
  4. 	
  5.     /**	
  6.      * serialVersionUID	
  7.      * 	
  8.      * @since JDK 1.7	
  9.      */	
  10.     private static final long serialVersionUID = 1L;	
  11. 	
  12.     /**	
  13.      * FORM_TOKEN_ID:表单TokenId.	
  14.      * 	
  15.      * @since JDK 1.7	
  16.      */	
  17.     public static final String FORM_TOKEN_ID = "_form_token_id";	
  18. 	
  19.     private String tokenId;	
  20.     private Date tokenCreateTime;	
  21. 	
  22.     public TokenVO(String tokenId) {	
  23.         this.tokenId = tokenId;	
  24.         this.tokenCreateTime = new Date();	
  25.     }	
  26. 	
  27.     public String getTokenId() {	
  28.         return tokenId;	
  29.     }	
  30. 	
  31.     public void setTokenId(String tokenId) {	
  32.         this.tokenId = tokenId;	
  33.     }	
  34. 	
  35.     /**	
  36.      * getTokenCreateTime:(获得token创建时间). <br/>	
  37.      * 	
  38.      * @author st-gdq4556	
  39.      * @return Date	
  40.      * @since JDK 1.7	
  41.      */	
  42.     public Date getTokenCreateTime() {	
  43.         if (tokenCreateTime == null) {	
  44.             return null;	
  45.         }	
  46.         return (Date) tokenCreateTime.clone();	
  47.     }	
  48. 	
  49.     /**	
  50.      * setTokenCreateTime:(设置token创建时间). <br/>	
  51.      * 	
  52.      * @author st-gdq4556	
  53.      * @param tokenCreateTime	
  54.      *            token创建时间	
  55.      * @since JDK 1.7	
  56.      */	
  57.     public void setTokenCreateTime(Date tokenCreateTime) {	
  58.         if (tokenCreateTime == null) {	
  59.             this.tokenCreateTime = null;	
  60.         } else {	
  61.             this.tokenCreateTime = (Date) tokenCreateTime.clone();	
  62.         }	
  63.     }	
  64. }

生成token方法

  1.     /**	
  2.      * newFormToken:生成一个新的token,如果目前token个数大于设定的最大token数则先删除最早的一个token. <br/>	
  3.      * 新token用UUIDUtil.generate16UUID()生成Token.<br/>	
  4.      * 	
  5.      * @author guooo	
  6.      * @param request	
  7.      *            请求对象	
  8.      * @return TokenVO	
  9.      * @since JDK 1.7	
  10.      */	
  11.     public TokenVO newFormToken(HttpServletRequest request) {	
  12.         //每次都新生成一个token,放入队列里	
  13.         TokenVO TokenVO = new TokenVO(UUIDUtil.generate16UUID());	
  14.         Map<String, TokenVO> formTokens = getFormTokens(request);	
  15.         synchronized (formTokens) {	
  16.             // 如果目前token个数大于等于最大token数,那么删除最老的token,添加新token。	
  17.             if (formTokens.size() > maxTokenNum) {	
  18.                 removeOldestToken(request);	
  19.             }	
  20.             formTokens.put(TokenVO.getTokenId(), TokenVO);	
  21.         }	
  22. 	
  23.         return TokenVO;	
  24.     }	
  25. 	
  26.     /**	
  27.      * getTokens:获得目前session中的Token列表. <br/>	
  28.      * 	
  29.      * @author guooo	
  30.      * @param request	
  31.      *            请求对象	
  32.      * @return 返回的Map中以token的token为键,Form对象为值.	
  33.      * @since JDK 1.7	
  34.      */	
  35.     @SuppressWarnings("unchecked")	
  36.     protected Map<String, TokenVO> getFormTokens(HttpServletRequest request) {	
  37.         Map<String, TokenVO> tokensInSession = null;	
  38.         HttpSession session = request.getSession();	
  39.         synchronized (session) {	
  40.             tokensInSession = (Map<String, TokenVO>) session.getAttribute(SESSION_KEY_OF_TOKENS);	
  41.             if (tokensInSession == null) {	
  42.                 tokensInSession = new HashMap<String, TokenVO>();	
  43.                 session.setAttribute(SESSION_KEY_OF_TOKENS, tokensInSession);	
  44.             }	
  45.         }	
  46.         return tokensInSession;	
  47.     }	
  48. 	
  49.      /**	
  50.      * removeOldestForm:删除最老的token. <br/>	
  51.      * 	
  52.      * @author guooo	
  53.      * @param request	
  54.      *            请求对象	
  55.      * @since JDK 1.7	
  56.      */	
  57.     protected void removeOldestToken(HttpServletRequest request) {	
  58.         List<TokenVO> tokens = new ArrayList<TokenVO>(getFormTokens(request).values());	
  59.         if (!tokens.isEmpty()) {	
  60.             TokenVO oldestToken = tokens.get(0);	
  61.             for (TokenVO TokenVO : tokens) {	
  62.                 if (TokenVO.getTokenCreateTime().before(oldestToken.getTokenCreateTime())) {	
  63.                     oldestToken = TokenVO;	
  64.                 }	
  65.             }	
  66.             destroyFormToken(request, oldestToken.getTokenId());	
  67.         }	
  68.     }

交易校验,主要由拦截器完成。

  1. public class TradeTokenInterceptor extends HandlerInterceptorAdapter {	
  2. 	
  3.     private static Logger logger = LoggerFactory.getLogger(TradeTokenInterceptor.class);	
  4. 	
  5.     private TradeTokenService tokenMgr;	
  6. 	
  7.     @Override	
  8.     public boolean preHandle(HttpServletRequest request,	
  9.             HttpServletResponse response, Object handler) throws Exception {	
  10.         String tokenId = request.getParameter(TokenVO.FORM_TOKEN_ID);	
  11.         if (tokenId != null) {	
  12.             if (tokenMgr.hasFormToken(request, tokenId)) {	
  13.                 //token正常,比对后立即销毁	
  14.                 tokenMgr.destroyFormToken(request, tokenId);	
  15.             } else {	
  16.                 //token多次提交,异常处理	
  17.                 RestAPIResult<Object> result = new RestAPIResult<Object>();	
  18.                 result.setRespCode(500);	
  19.                 result.setRespMsg("请求已受理,请勿重复提交");	
  20.                 response.getWriter().write(JSON.toJSONString(result));	
  21.                 return false;	
  22.             }	
  23.         }	
  24.         return true;	
  25.     }	
  26. 	
  27.     @Autowired	
  28.     public void setFormTokenManage(TradeTokenService formTokenManage) {	
  29.         this.tokenMgr = formTokenManage;	
  30.     }	
  31. 	
  32. }

一般的解决方案是在前端由JS控制提交表单按钮,提交后置灰,禁止第二次提交。但此方法也只针对小白用户有效,防范机制也不是很彻底,比如直接调用请求而非通过页面表单进行,比如JS校验代码清除等,可以绕过JS的置灰功能进行二次提交。

采用前端JS置灰防止重复提交请求,再加上后端token验证,可以更有效的防止关键交易的重复提交。

640?

扩展阅读:

640?wx_fmt=png

歪脖贰点零

关注程序员个人成长

640?wx_fmt=jpeg

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Monodyee/article/detail/234668
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号