Note(3):过滤器（Filter）

过滤器(Filter)是能够对请求和响应的头属性(header)和内容体(body)进行操作的特殊Web构件。

过滤器提供了某些早期服务器所支持的非标准“servlet链接”的一种功能强大且标准的替代品。过滤器和servlet之间是多对多的关系，一个过滤器可以对多个servlet的请求和响应进行过滤(如Filter A)，一个servlet也可以对多个过滤器作用(如servlet3被Filter B,C,D过滤器链过滤)。

 

过滤器的主要功能包括：

1.         对Web请求进行分析，对输入数据进行预处理；

2.         阻止请求和响应的进行；

3.         根据功能改动请求的头信息和数据体；

4.         根据功能改动响应的头信息和数据体；

5.         和其他Web资源协作；

在这之后，过滤器可以作如下的操作选择：

1. 以常规的方式调用资源（即，调用servlet或JSP页面）。

 

2. 利用修改过的请求信息调用资源。

 

3. 调用资源，但在发送响应到客户机前对其进行修改

 

4. 阻止该资源调用，代之以转到其他的资源，返回一个特定的状态代码或生成替换输出。

过滤器提供了几个重要好处 ：通用性和可移植性。

通常过滤器可以用在同种情况下，比如安全保护、运行记录、图像转化、数据压缩、加密解码以及XML转化等。

 

但要注意，过滤器只在与servlet规范2.3版兼容的服务器上有作用。如果你的Web应用需要支持旧版服务器，就不能使用过滤器。

 

建立一个过滤器涉及下列五个步骤：

1.         建立一个实现Filter接口的类。这个类需要三个方法，分别是：doFilter、init和destroy。

doFilter方法包含主要的过滤代码（见第2步），init方法建立设置操作，而destroy方法进行清楚。

 

建立一个实现Filter接口的类

      所有过滤器都必须实现javax.servlet.Filter。这个接口包含三个方法，分别为doFilter、init和destroy。

 

public void doFilter(ServletRequset request,

                     ServletResponse response,

                     FilterChain chain)

     thows ServletException, IOException

 

每当调用一个过滤器（即，每次请求与此过滤器相关的servlet或JSP页面）时，就执行其doFilter方法。正是这个方法包含了大部分过滤逻辑。第一个参数为与传入请求有关的ServletRequest。对于简单的过滤器，大多数过滤逻辑是基于这个对象的。如果处理HTTP请求，并且需要访问诸如getHeader或getCookies等在ServletRequest中无法得到的方法，就要把此对象构造成HttpServletRequest。

 

第二个参数为ServletResponse。除了在两个情形下要使用它以外，通常忽略这个参数。首先，如果希望完全阻塞对相关servlet或JSP页面的访问。可调用response.getWriter并直接发送一个响应到客户机。其次，如果希望修改相关的servlet或JSP页面的输出，可把响应包含在一个收集所有发送到它的输出的对象中。然后，在调用serlvet或JSP页面后，过滤器可检查输出，如果合适就修改它，之后发送到客户机。

 

DoFilter的最后一个参数为FilterChain对象。对此对象调用doFilter以激活与servlet或JSP页面相关的下一个过滤器。如果没有另一个相关的过滤器，则对doFilter的调用激活servlet或JSP本身。

 

public void init(FilterConfig config)   thows ServletException

 

init方法只在此过滤器第一次初始化时执行，不是每次调用过滤器都执行它。对于简单的过滤器，可提供此方法的一个空体，但有两个原因需要使用init。首先，FilterConfig对象提供对servlet环境及web.xml文件中指派的过滤器名的访问。因此，普遍的办法是利用init将FilterConfig对象存放在一个字段中，以便doFilter方法能够访问servlet环境或过滤器名.其次，FilterConfig对象具有一个getInitParameter方法，它能够访问部署描述符文件（web.xml）中分配的过滤器初始化参数。

 

public void destroy( )

     大多数过滤器简单地为此方法提供一个空体，不过，可利用它来完成诸如关闭过滤器使用的文件或数据库连接池等清除任务。

 

2.         在doFilter方法中放入过滤行为。

doFilter方法的第一个参数为ServletRequest对象此对象给过滤器提供了对进入的信息（包括表单数据、cookie和HTTP请求头）的完全访问。第二个参数为ServletResponse，通常在简单的过滤器中忽略此参数。最后一个参数为FilterChain，如下一步所述，此参数用来调用servlet或JSP页。

将过滤行为放入doFilter方法

     doFilter方法为大多数过滤器地关键部分。每当调用一个过滤器时，都要执行doFilter。对于大多数过滤器来说，doFilter执行的步骤是基于传入的信息的。因此，可能要利用作为doFilter的第一个参数提供的ServletRequest。这个对象常常构造为HttpServletRequest类型，以提供对该类的更特殊方法的访问。

 

3.         调用FilterChain对象的doFilter方法。

Filter接口的doFilter方法取一个FilterChain对象作为它的一个参数。在调用此对象的doFilter方法时，激活下一个相关的过滤器。如果没有另一个过滤器与servlet或JSP页面关联，则servlet或JSP页面被激活。

 

调用FilterChain对象的doFilter方法

     Filter接口的doFilter方法以一个FilterChain对象作为它的第三个参数。在调用该对象的doFilter方法时，激活下一个相关的过滤器。这个过程一般持续到链中最后一个过滤器为止。在最后一个过滤器调用其FilterChain对象的doFilter方法时，激活servlet或页面自身。

但是，链中的任意过滤器都可以通过不调用其FilterChain的doFilter方法中断这个过程。在这样的情况下，不再调用JSP页面的serlvet，并且中断此调用过程的过滤器负责将输出提供给客户机。

 

4.         对相应的servlet和JSP页面注册过滤器。在部署描述符文件（web.xml）中使用filter和filter-mapping元素。

 

对适当的servlet和JSP页面注册过滤器

     部署描述符文件的2.3版本引入了两个用于过滤器的元素，分别是：filter和filter-mapping。filter元素向系统注册一个过滤对象，filter-mapping元素指定该过滤对象所应用的URL。

 

filter元素

filter元素位于部署描述符文件（web.xml）的前部，所有filter-mapping、servlet或servlet-mapping元素之前。filter元素具有如下六个可能的子元素：

 

icon   这是一个可选的元素，它声明IDE能够使用的一个图象文件。

filter-name   这是一个必需的元素，它给过滤器分配一个选定的名字。

display-name   这是一个可选的元素，它给出IDE使用的短名称。

description   这也是一个可选的元素，它给出IDE的信息，提供文本文档。

filter-class   这是一个必需的元素，它指定过滤器实现类的完全限定名。

init-param   这是一个可选的元素，它定义可利用FilterConfig的getInitParameter方法读取的初始化参数。单个过滤器元素可包含多个init-param元素。

 

请注意，过滤是在serlvet规范2.3版中初次引入的。因此，web.xml文件必须使用DTD的2.3版本。下面介绍一个简单的例子：

    <xml version="1.0" encoding="ISO-8859-1"?>

    DOCTYPE web-app PUBLIC

        "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

         "http://java.sun.com/dtd/web-app_2_3.dtd">

    <web-app>

     <filter>

        <filter-name>MyFilterfilter-name>

        <filter-class>myPackage.FilterClassfilter-class>

      filter>

     

      <filter-mapping>...filter-mapping>

     <web-app>

 

filter-mapping元素

    filter-mapping元素位于web.xml文件中filter元素之后serlvet元素之前。它包含如下三个可能的子元素：

 

filter-name   这个必需的元素必须与用filter元素声明时给予过滤器的名称相匹配。

 

url-pattern   此元素声明一个以斜杠（/）开始的模式，它指定过滤器应用的URL。所有filter-mapping元素中必须提供url-pattern或servlet-name。但不能对单个filter-mapping元素提供多个url-pattern元素项。如果希望过滤器适用于多个模式，可重复整个filter-mapping元素。

 

 servlet-name   此元素给出一个名称，此名称必须与利用servlet元素给予servlet或JSP页面的名称相匹配。不能给单个filter-mapping元素提供多个servlet-name元素项。如果希望过滤器适合于多个servlet名，可重复这个filter-mapping元素。

下面举一个例子：

  xml version="1.0" encoding="ISO-8859-1"?>

    DOCTYPE web-app PUBLIC

        "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

        "http://java.sun.com/dtd/web-app_2_3.dtd">

    <web-app>

      <filter>

        <filter-name>MyFilterfilter-name>

        <filter-class>myPackage.FilterClass<filter-class>

      <filter>

     

      <filter-mapping>

        <filter-name>MyFilterfilter-name>

        <url-pattern>/someDirectory/SomePage.jspurl-pattern<

      filter-mapping>

    <web-app>

 

5.         禁用激活器servlet。防止用户利用缺省servlet URL绕过过滤器设置。

 

禁用激活器servlet

     在对资源应用过滤器时，可通过指定要应用过滤器的URL模式或servlet名来完成。如果提供servlet名，则此名称必须与web.xml的servlet元素中给出的名称相匹配。如果使用应用到一个serlvet的URL模式，则此模式必须与利用web.xml的元素servlet-mapping指定的模式相匹配。但是，多数服务器使用“激活器servlet”为servlet体统一个缺省的URL：http://host/WebAppPrefix/servlet/ServletName。需要保证用户不利用这个URL访问servlet（这样会绕过过滤器设置）。

例如，假如利用filter和filter-mapping指示名为SomeFilter的过滤器应用到名为SomeServlet的servlet，则如下：

  <filter>

      <filter-name>SomeFilter<filter-name>

      <filter-class>somePackage.SomeFilterClass<filter-class>

   <filter>

   

    <filter-mapping>

      <filter-name>SomeFilter<filter-name>

      <servlet-name>SomeServlet<servlet-name>

     <filter-mapping>

 

 

接着，用servlet和servlet-mapping规定URL   http://host/webAppPrefix/Blah 应该调用SomeSerlvet，如下所示：

  <filter>

      <filter-name>SomeFilter<filter-name>

      <filter-class>somePackage.SomeFilterClass<filter-class>

    <filter>

   

    <filter-mapping>

      <filter-name>SomeFilter<filter-name>

      <servlet-name>/Blah<servlet-name>

     <filter-mapping>

 

 

现在，在客户机使用URL   http://host/webAppPrefix/Blah 时就会调用过滤器。过滤器不应用到

http://host/webAppPrefix/servlet/SomePackage.SomeServletClass。

尽管有关闭激活器的服务器专用方法。但是，可移植最强的方法时重新映射Web应用钟的/servlet模式，这样使所有包含此模式的请求被送到相同的servlet中。为了重新映射此模式，首先应该建立一个简单的servlet，它打印一条错误消息，或重定向用户到顶层页。然后，使用servlet和servlet-mapping元素发送包含/servlet模式的请求到该servlet。程序清单9-1给出了一个简短的例子。

 

程序清单9-1 web.xml（重定向缺省servlet URL的摘录）

xml version="1.0" encoding="ISO-8859-1"?>

    DOCTYPE web-app PUBLIC

         "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

         "http://java.sun.com/dtd/web-app_2_3.dtd">

    <web-app>

   

    <servlet>

      <servlet-name>Error<servlet-name>

      <servlet-class>somePackage.ErrorServlet<servlet-class>

    servlet>

   

    <servlet-mapping>

      <servlet-name>Error<servlet-name>

      <url-pattern>/servlet/*<url-pattern>

   < servlet-mapping>

   

    <web-app>