Java Web投票系统核心在于服务端幂等校验、数据库联合唯一约束、选项表外键关联、强制登录验证及计数字段原子更新。需禁用前端防重依赖,拒绝未登录请求,避免COUNT(*)实时统计瓶颈。
Java Web 投票系统的核心不是“写个页面”,而是把「用户身份—选项绑定—防刷—结果实时性」这四件事在 HTTP 无状态前提下串起来。直接用 HttpSession 记录已投票用户 ID,配合数据库唯一约束(user_id + poll_id 联合唯一),比任何前端拦截都可靠。
如何防止同一用户重复投票
关键不在前端禁用按钮,而在服务端做幂等校验。每次提交前查数据库是否存在该用户对当前投票的记录:
- SQL 必须带
WHERE poll_id = ? AND user_id = ?,不能只查user_id - 插入时用
INSERT IGNORE INTO vote_record (poll_id, user_id, option_id) VALUES (?, ?, ?)(MySQL)或ON CONFLICT DO NOTHING(PostgreSQL),避免异常打断流程 - 不要依赖
HttpSession.getAttribute("voted_poll_123")做判断——Session 可能丢失、集群下不同步、用户清 Cookie 后失效
投票选项与结果如何映射到数据库
别用“选项 A/B/C”这种硬编码字段。一张 poll_option 表存所有可选项,靠外键关联到 poll:
CREATE TABLE poll_option ( id BIGINT PRIMARY KEY, poll_id BIGINT NOT NULL, content VARCHAR(255) NOT NULL, sort_order INT DEFAULT 0 );
这样新增选项、修改文案、调整顺序都不需要改 Java 代码;统计时用 SELECT option_id, COUNT(*) FROM vote_record WHERE poll_id = ? GROUP BY option_id,再 JOIN poll_option 拿文案。
立即学习“Java免费学习笔记(深入)”;
用户未登录时怎么处理投票请求
必须拒绝。HTTP 协议本身不携带用户身份,没登录就无法绑定 user_id,也就无法防重投。常见错误做法:
- 用 IP 地址限制——NAT 环境下几十人共用一个出口 IP,误伤严重
- 用 Cookie 存临时 token——容易被复制、无法注销、无有效期管理
- 前端弹窗提示“请先登录”,但后端仍接收并处理请求——这是安全漏洞
正确做法:Controller 方法上加 @PreAuthorize("isAuthenticated()")(Spring Security),或手动判 SecurityContextHolder.getContext().getAuthentication() != null,不满足直接返回 401 或重定向到登录页。
为什么投票结果不能每次请求都实时 COUNT(*)
高并发下 SELECT COUNT(*) FROM vote_record WHERE option_id = ? 会成为瓶颈,尤其表大了之后。更稳的做法是:
- 每次成功投票后,用
UPDATE poll_option SET vote_count = vote_count + 1 WHERE id = ?原子更新计数字段 - 查询结果时只查
poll_option表,不用 JOIN 或子查询 - 如果要求强一致性(比如选举场景),加行锁:
SELECT ... FOR UPDATE查当前计数再更新,但会降低吞吐
缓存(如 Redis)可作为补充,但不能替代数据库里的最终计数——缓存可能丢失、未及时更新,而投票结果必须可审计。
