多步骤表单必须由后端维护状态,前端仅负责展示和传递步序与数据;推荐用 session(如 gorilla/sessions)或数据库临时表存储中间状态,并校验前置步骤、防跳步与重复提交。
多步骤表单为什么不能靠前端 JS 单独控制
前端分步只是视觉拆分,form 提交仍是一次性发到后端。如果用户跳过某步、刷新页面、或禁用 JS,后端无法感知当前进度,容易造成数据不一致或空字段入库。真正可靠的多步骤必须由后端维护状态,前端只负责展示和传递当前步序与数据。
用 session 存储中间状态最直接
Golang 标准库不带 session,需引入轻量方案(如 gorilla/sessions)。每步提交后,把当前字段写入 session,并重定向到下一步;最后一步才做完整校验与落库。
-
sessionkey 建议按用户唯一标识(如user_id或随机session_id)隔离,避免跨用户污染 - 不要在 session 中存敏感字段(如密码、银行卡号),只存业务必需的中间值
- 设置合理过期时间(如
30 * time.Minute),避免长期占用内存 - 每步处理前先检查 session 是否存在且未过期,缺失则重定向回第一步
store := cookie.NewStore([]byte("your-secret-key"))
session, _ := store.Get(r, "multi-step-session")
session.Values["step1_email"] = r.FormValue("email")
session.Save(r, w)用数据库临时表替代 session 的适用场景
当步骤跨度长(如用户可能隔天回来)、需支持多设备同步、或 session 服务不可靠时,应改用数据库临时记录。建一张 form_temp_data 表,含 session_id、step、data_json、updated_at 字段。
- 每次提交更新对应
step的data_json(用json.Marshal序列化) - 查询时按
session_id+step拉取,避免全表扫描 - 定时任务清理
updated_at超过 24 小时的记录,防止堆积 - 最终提交成功后,删掉整条记录;失败则保留供重试
如何防止用户跳步或重复提交
仅靠 URL 路径(如 /step2)无法限制访问,必须在 handler 里校验前置步骤是否已完成。
立即学习“go语言免费学习笔记(深入)”;
- 从
session或 DB 查当前用户最高完成步数,比如返回step2,则允许访问/step3,但拒绝/step4 - 每步的
POST接口加X-Requested-With: XMLHttpRequest头校验(防直接 POST 表单绕过前端) - 关键操作(如最后提交)加一次性 token:生成
uuid存入 session,表单带 hidden 字段,提交时比对并立即失效 - 按钮提交后置灰 + 加载态,前端用
fetch捕获 4xx/5xx 并提示,避免用户狂点
跳步和重复是真实高频问题,别依赖“用户会乖乖点下一步”这种假设。
