api防重

Restful api 防止重复提交

 

当前很多网站是前后分离的，前端（android,iso,h5）通过restful API 调用 后端服务器，这就存在一个问题，对于创建操作，比如购买某个商品，如果由于某种原因，手抖，控件bug,网络错误，可能导致一次操作实际上购买了多次同一个产品。所以，我们要考虑防止重复提交。这个重复提交我们只限定于创建操作，对于修改和删除操作，原则上是幂等的，不用担心，查询操作更不用担心重复操作。

方案一，前端在提交时候生成一个基于时间的sequence,将这个参数传到后端，后端根据uriPath+userId+sequence作为key，采用redis分布式锁，setNX,防止重复提交

方案二，前端不用传递sequence，后端根据请求的payload和其他参数来确定唯一，uriPath+userId+MD5(JsonString(所有参数))作为key,用redis分布式锁

具体实现：

对于方案一，防止重复提交交给了前端控制，sequence的生成可以是时间戳。后端可以做在servlet filter 中或者在restful 框架的filter中比如resteasy 的ContainerRequestFilter中

对于第二种方案，防止重复提交完全由后端控制，前端无感，不能做在filter中，因为request payload只能被消费一次。可以用spring aop来实现，对resource method 做aop拦截。

优劣：基于我们的目的，是为了防止重复提交，第二种方案能够更彻底的防止重复提交，并且易于控制。