17370845950

多步骤表单必须由后端维护状态，前端仅负责展示和传递步序与数据；推荐用 session（如 gorilla/sessions）或数据库临时表存储中间状态，并校验前置步骤、防跳步与重复提交。

多步骤表单为什么不能靠前端 JS 单独控制

前端分步只是视觉拆分，form 提交仍是一次性发到后端。如果用户跳过某步、刷新页面、或禁用 JS，后端无法感知当前进度，容易造成数据不一致或空字段入库。真正可靠的多步骤必须由后端维护状态，前端只负责展示和传递当前步序与数据。

用 session 存储中间状态最直接

Golang 标准库不带 session，需引入轻量方案（如 gorilla/sessions）。每步提交后，把当前字段写入 session，并重定向到下一步；最后一步才做完整校验与落库。

• session key 建议按用户唯一标识（如 user_id 或随机 session_id）隔离，避免跨用户污染
• 不要在 session 中存敏感字段（如密码、银行卡号），只存业务必需的中间值
• 设置合理过期时间（如 30 * time.Minute），避免长期占用内存
• 每步处理前先检查 session 是否存在且未过期，缺失则重定向回第一步

store := cookie.NewStore([]byte("your-secret-key"))
session, _ := store.Get(r, "multi-step-session")
session.Values["step1_email"] = r.FormValue("email")
session.Save(r, w)

用数据库临时表替代 session 的适用场景

当步骤跨度长（如用户可能隔天回来）、需支持多设备同步、或 session 服务不可靠时，应改用数据库临时记录。建一张 form_temp_data 表，含 session_id、step、data_json、updated_at 字段。

• 每次提交更新对应 step 的 data_json（用 json.Marshal 序列化）
• 查询时按 session_id + step 拉取，避免全表扫描
• 定时任务清理 updated_at 超过 24 小时的记录，防止堆积
• 最终提交成功后，删掉整条记录；失败则保留供重试

如何防止用户跳步或重复提交

仅靠 URL 路径（如 /step2）无法限制访问，必须在 handler 里校验前置步骤是否已完成。

• 从 session 或 DB 查当前用户最高完成步数，比如返回 step2，则允许访问 /step3，但拒绝 /step4
• 每步的 POST 接口加 X-Requested-With: XMLHttpRequest 头校验（防直接 POST 表单绕过前端）
• 关键操作（如最后提交）加一次性 token：生成 uuid 存入 session，表单带 hidden 字段，提交时比对并立即失效
• 按钮提交后置灰 + 加载态，前端用 fetch 捕获 4xx/5xx 并提示，避免用户狂点

跳步和重复是真实高频问题，别依赖“用户会乖乖点下一步”这种假设。