1.1. 什么是过滤器
Filter译为过滤器,是JavaWeb的三大组件之一,用于在Servlet之外对Request或者Response进行修改。对于Web应用程序来说,过滤器是一个驻留在服务器端的Web组件,它可以截取客户端和服务器端之间的请求与响应信息。(过滤器实际上就是对web资源进行拦截,做一些处理后再交给下一个过滤器或servlet处理通常都是用来拦截request进行处理的,也可以对返回的response进行拦截处理)
1.2. 发展历史
由于Servlet规范是开放的,借助于公众与开源社区的力量,Servlet规范越来越科学,功能也越来越强大。2000年,Sun公司在Servlet2.3规范中添加了Filter功能,并在Servlet2.4中对Filter进行了细节上的补充。目前主流版本为Servlet2.5的Filter。
1.3运行原理
Servlet是服务器端用于处理客户端的请求与响应的,而Filter就是介于客户端与服务器端拦截客户端的请求或服务器端的响应,并对其修改或过滤。具体实现流程如下::
当客户端向服务器端发送一个请求时,如果有对应的过滤器进行拦截,过滤器可以改变请求的内容、或者重新设置请求协议的相关信息等,然后再将请求发送给服务器端的Servlet进行处理。当Servlet对客户端做出响应时,过滤器同样可以进行拦截,将响应内容进行修改或者重新设置后,再响应给客户端浏览器。在上述过程中,客户端与服务器端并不需要知道过滤器的存在。
在一个Web应用程序中,可以部署多个过滤器进行拦截,这些过滤器组成了一个过滤器链。过滤器链中的每个过滤器负责特定的操作和任务,客户端的请求在这些过滤器之间传递,直到服务器端的Servlet。具体执行流程如下:
1.4、应用场景
自动登录
统一设置编码格式
访问权限控制
敏感字符过滤等
1.5. 第一个过滤器
在Servlet API中提供了一个Filter接口,实现过滤器只需要实现该接口即可。
实现过滤器的具体步骤如下:
- 创建一个Java类,并实现Filter接口,重写该接口的方法。
public class MyFitler implements Filter { public void init(FilterConfig filterConfig) throws ServletException {//init()方法用于Filter的初始化 System.out.println("执行了Filter的init()方法..."); } public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { //doFilter()方法用于Filter的拦截 System.out.println("执行了Filter的doFilter()方法..."); } public void destroy() { //destory()方法用于Filter的销毁 System.out.println("执行了Filter的destroy()方法..."); }
}
在Web工程的web.xml文件中配置过滤器。
<?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> <!-- 配置过滤器 --> <filter> <!-- 配置过滤器的名称 --> <filter-name>MyFitler</filter-name> <!-- 配置对应过滤器类的完整路径 --> <filter-class>app.java.fitler.MyFitler</filter-class> </filter> <!-- 配置过滤器的拦截路径 --> <filter-mapping> <!-- 配置过滤器的名称 --> <filter-name>MyFitler</filter-name> <!-- 配置过滤器的拦截的路径 --> <url-pattern>/*</url-pattern> </filter-mapping> </web-app>
2. 深入过滤器
2.1. 生命周期
实例化 ----->初始化----->doFilter()----->销毁
实例化:在Tomcat服务器启动时执行。在Filter的生命周期中只执行一次。
初始化:在Tomcat服务器启动时执行。在Filter的生命周期中只执行一次。用于Filter的初始化工作。
doFilter:在每次拦截时执行。在Filter的生命周期中只执行多次。用于Filter的拦截处理工作。
销毁:在Tomcat服务器关闭时执行。在Filter的生命周期中只执行一次。用于Filter的销毁工作。
FilterConfig:与ServletConfig相似,该类有如下四个方法:
- getInitParameter():获取初始化参数。
- getInitParameterNames():获取所有初始化参数的名称。
- getFilterName():获取过滤器的配置名称。
- getServletContext():获取application。
作者:codingXiaxw
链接:https://www.jianshu.com/p/2ea2b0e4d1f2
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
2.2. 过滤器链
在一个Web应用程序中,可以部署多个过滤器进行拦截,这些过滤器组成了一个过滤器链。
如果只有一个过滤器的话,执行该方法会将请求发送给服务器端的动态或静态资源。如果是过滤器链的话,只有在执行过滤器链的最后一个过滤器的FilterChain的doFilter()方法时,才会将请求发送给服务器端的动态或静态资源。如果不是在过滤器链的最后一个过滤器的FilterChain的doFilter()方法时,将请求发送给下一个过滤器进行拦截。
在过滤器链中的过滤器执行的先后顺序是按照Web工程的web.xml文件配置过滤器的先后顺序被执行。以<filter-mapping>配置的先后顺序执行
2.3. 过滤器注解配置
@WebFilter(filterName = "LoginFilter", urlPatterns = "*.jsp", dispatcherTypes = {})
Filter可配置的属性如下所示:
常用配置项:
urlPatterns:(配置要拦截的资源)
1、以指定资源匹配。例如"/index.jsp"、
2、以目录匹配。例如"/servlet/*"
3、以后缀名匹配,例如"*.jsp"
4、通配符,拦截所有web资源。"/*"
initParams:(设置初始化参数)
initParams = { @WebInitParam(name = "key",value = "value")}
dispatcherTypes:(配置拦截器的类型)
配置拦截的类型,可配置多个。默认为DispatcherType.REQUEST 例如dispatcherTypes = {DispatcherType.ASYNC,DispatcherType.ERROR}
其中DispatcherType是个枚举类型,有下面几个值:
FORWARD,//转发的 INCLUDE,//包含在页面的 REQUEST,//请求的 ASYNC,//异步的 ERROR;//出错的
多个Filter的执行顺序:
在我们的请求到达Servle之间是可以经过多个Filter的,一般来说,建议Filter之间不要有关联,各自处理各自的逻辑即可。这样,我们也无需关心执行顺序问题。
如果一定要确保执行顺序,就要对配置进行修改了,执行顺序如下
1、在web.xml中,filter执行顺序跟<filter-mapping>的顺序有关,先声明的先执行
2、 使用注解配置的话,filter的执行顺序跟名称的字母顺序有关,例如AFilter会比BFilter先执行
3、 如果既有在web.xml中声明的Filter,也有通过注解配置的Filter,那么会优先执行web.xml中配置的Filter
3. 过滤器案例
3.1. 全站乱码案例
中文乱码问题一直都是Web应用开发的问题,想要解决整个Web应用程序的中文乱码问题,可以如下操作:
- 创建一个Java类继承于HttpServletRequestWrapper类,用于重写HttpServletRequest,解决GET方式的中文乱码问题。
public class MyRequest extends HttpServletRequestWrapper {
public MyRequest(HttpServletRequest request) {
super(request);
}
@Override
public String getParameter(String name) {
String value = super.getParameter(name);
if (getMethod().equalsIgnoreCase("GET")) {
try {
value = new String(value.getBytes("ISO-8859-1"),"utf-8");
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
}
return value;
}
}
- 创建一个过滤器用于解决整个Web应用程序的中文乱码问题。
public class EncodingFilter implements Filter {
public void init(FilterConfig filterConfig) throws ServletException {}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
request.setCharacterEncoding("utf-8");
response.setContentType("text/html;charset=utf-8");
MyRequest req = new MyRequest((HttpServletRequest)request);
chain.doFilter(req, response);
}
public void destroy() {}
}
- 配置Web工程的web.xml文件。
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<filter>
<filter-name>EncodingFilter</filter-name>
<filter-class>app.java.demo4.EncodingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>EncodingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
- 创建一个JSP页面用于中文乱码问题的测试。
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>My JSP 'login.jsp' starting page</title>
</head>
<body>
<form id="userinfo" action="encoding" method="post">
用户名:<input type="text" name="username"><br>
密码:<input type="password" name="password"><br>
<input type="submit" value="登录">
</form>
<a href="/encoding?username=张无忌">GET方式的中文乱码问题</a>
</body>
</html>
- 创建一个Servlet用于测试中文乱码问题。
public class EncodingServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
response.getWriter().println("<h1>username : "+username+"</h1>");
}
public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doGet(request, response);
}
}
- 配置Web工程的web.xml文件。
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<servlet>
<servlet-name>EncodingServlet</servlet-name>
<servlet-class>app.java.servlet.EncodingServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>EncodingServlet</servlet-name>
<url-pattern>/encoding</url-pattern>
</servlet-mapping>
</web-app>
3.2. 自动登录案例
所谓自动登录就是当用户第一次登录后,并且选择“自动登录”选项,用户从第二次访问开始,用户都无需再登录,完成直接登录的功能。具体实现步骤如下:
- 创建一个JSP页面用于用户登录功能。
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>My JSP 'login.jsp' starting page</title>
</head>
<body>
<h3 style="color:red;">${msg }</h3>
<form id="userinfo" action="login" method="post">
用户名:<input type="text" name="username"><br>
密码:<input type="password" name="password"><br>
<input type="checkbox" name="autologin" value="true">自动登录<br>
<input type="submit" value="登录">
</form>
</body>
</html>
- 创建一个JavaBean用于封装用户信息。
public class User {
private String username;
private String password;
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
}
- 创建一个Servlet用于处理用户登录逻辑。
public class LoginServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
if("admin".equals(username)&&"admin".equals(password)){
User user = new User();
user.setUsername(username);
user.setPassword(password);
HttpSession session = request.getSession();
session.setAttribute("user", user);
if("true".equals(request.getParameter("autologin"))){
Cookie cookie = new Cookie("autologin", username+"#"+password);
cookie.setPath("/");
cookie.setMaxAge(60 * 60 * 24 * 90);
response.addCookie(cookie);
}
response.sendRedirect("index.jsp");
return;
}else{
request.setAttribute("msg", "用户名或密码错误,请重新输入.");
request.getRequestDispatcher("login.jsp").forward(request, response);
return;
}
}
}
- 配置Web工程的web.xml文件。
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<servlet>
<servlet-name>LoginServlet</servlet-name>
<servlet-class>app.java.servlet.LoginServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>LoginServlet</servlet-name>
<url-pattern>/login</url-pattern>
</servlet-mapping>
</web-app>
- 创建一个JSP页面用于显示主页面,显示用户登录信息。
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>My JSP 'index.jsp' starting page</title>
</head>
<body>
<c:if test="${empty user }">
<h1>您还未登录,请去<a href="login.jsp">登录</a></h1>
</c:if>
<c:if test="${not empty user }">
<h1>欢迎您,${user.username }</h1>
</c:if>
</body>
</html>
- 创建一个过滤器用于完成自动登录功能。
public class AutoLoginFilter implements Filter {
public void init(FilterConfig filterConfig) throws ServletException {}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest)request;
// 判断用户是否选择手动登录
if(req.getSession().getAttribute("user") != null){
// 已经登录
chain.doFilter(request, response);
return;
}else{
// 没有登录,查找是否含有自动登录Cookie
Cookie autoLoginCookie = findCookie(req.getCookies(), "autologin");
if (autoLoginCookie == null){
// 没有自动登录信息
chain.doFilter(request, response);
return;
}else{
// 存在自动登录信息
String username = autoLoginCookie.getValue().split("#")[0];
String password = autoLoginCookie.getValue().split("#")[1];
if (!"admin".equals(username)||!"admin".equals(password)) {
// 自动登录信息有问题
chain.doFilter(request, response);
}else{
// 完成自动登录功能
User user = new User();
user.setUsername(username);
user.setPassword(password);
req.getSession().setAttribute("user", user);
chain.doFilter(request, response);
return;
}
}
}
}
public Cookie findCookie(Cookie[] cookies, String name) {
if (cookies == null) {
return null;
} else {
for (Cookie cookie : cookies) {
if (cookie.getName().equals(name)) {
return cookie;
}
}
return null;
}
}
public void destroy() {}
}
- 配置Web工程的web.xml文件。
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<filter>
<filter-name>AutoLoginFilter</filter-name>
<filter-class>app.java.demo2.AutoLoginFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>AutoLoginFilter</filter-name>
<url-pattern>/index.jsp</url-pattern>
</filter-mapping>
</web-app>
3.3. 权限控制案例
一般情况下,Web应用程序不能允许所有用户可以访问所有功能。换句话讲,不同的用户具有访问不同功能的权限。所以,需要完成权限控制功能,具体操作如下:
- 创建JavaBean用于封装用户信息(包含权限信息)。
public class User {
private String username;
private String password;
private String role;
public String getRole() {
return role;
}
public void setRole(String role) {
this.role = role;
}
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
}
- 创建Web应用程序的主页面,用于用户功能的显示。
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>My JSP 'index.jsp' starting page</title>
</head>
<body>
<c:if test="${empty user }">
<h1>您还未登录,请去<a href="login.jsp">登录</a></h1>
</c:if>
<c:if test="${not empty user }">
<h1>欢迎您,${user.username }</h1>
<h1><a href="user/userlist.jsp">用户操作功能列表</a></h1>
<h1><a href="admin/adminlist.jsp">管理员操作功能列表</a></h1>
</c:if>
</body>
</html>
- 创建用户可以访问的功能列表页面。
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>My JSP 'userlist.jsp' starting page</title>
</head>
<body>
<h1>这里是用户操作的功能列表!</h1>
</body>
</html>
- 创建管理员可以访问的功能列表页面。
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>My JSP 'adminlist.jsp' starting page</title>
</head>
<body>
<h1>这里是管理员操作的功能列表!</h1>
</body>
</html>
- 创建一个过滤器用于完成权限控制功能。
public class AuthoFilter implements Filter {
private FilterConfig config;
private Map<String, String> map = new HashMap<String, String>();
public void init(FilterConfig filterConfig) throws ServletException {
this.config = filterConfig;
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
Enumeration names = config.getInitParameterNames();
while (names.hasMoreElements()) {
String name = (String) names.nextElement();
String value = config.getInitParameter(name);
map.put(value, name);
}
HttpServletRequest req = (HttpServletRequest) request;
String path = req.getRequestURI().substring(req.getContextPath().length());
for (String needPath : map.keySet()) {
if (path.startsWith(needPath)) {
String needRole = map.get(needPath);
User user = (User) req.getSession().getAttribute("user");
if (user == null) {
req.getRequestDispatcher("login.jsp").forward(request, response);
return;
}else {
String role = user.getRole();
if (needRole.equals(role)) {
chain.doFilter(request, response);
return;
}else {
throw new RuntimeException("权限不足,无法访问!");
}
}
}
}
chain.doFilter(request, response);
}
public void destroy() {}
}
- 配置Web工程的web.xml文件。
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<filter>
<filter-name>AuthoFilter</filter-name>
<filter-class>app.java.demo3.AuthoFilter</filter-class>
<init-param>
<param-name>user</param-name>
<param-value>/user</param-value>
</init-param>
<init-param>
<param-name>admin</param-name>
<param-value>/admin</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>AuthoFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
3.4. 禁用缓存案例
之前完成过禁止浏览器缓存功能,使用的是响应协议头中的三个内容,如下:
|
Expires: -1 |
禁用浏览器缓存(考虑不同浏览器兼容性,存在三个字段) |
|
Cache-Control: no-cache |
|
|
Pragma: no-cache |
在服务器端Servlet代码如下:
//设置响应头信息,禁止浏览器缓存.
response.setHeader("Cache-Control", "no-cache");
response.setHeader("Pragma", "no-cache");
response.setDateHeader("Expires", -1);
但这种方式只能适用于一个JSP页面,而一个Web应用程序中可能包含多个JSP页面。如果想要整个Web应用程序的所有JSP页面都禁止缓存,需要使用过滤器功能来完成,具体操作如下:
- 创建一个过滤器类,实现Filter接口,并重写所有方法。
public class NoCacheFilter implements Filter {
public void init(FilterConfig filterConfig) throws ServletException {}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
//1 将ServletResponse强转为HttpServletResponse
HttpServletResponse res = (HttpServletResponse)response;
//2 禁止浏览器缓存功能
res.setHeader("Cache-Control", "no-cache");
res.setHeader("Pragma", "no-cache");
res.setDateHeader("Expires", -1);
//3 过滤器放行
chain.doFilter(request, response);
}
public void destroy() {}
}
- 配置Web工程中的web.xml文件。