Filter简介
Filter也称之为过滤器,它是Servlet技术中最实用的技术,Web开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。
它主要用于对用户请求进行预处理,也可以对HttpServletResponse进行后处理。使用Filter的完整流程:Filter对用户请求进行预处理,接着将请求交给Servlet进行处理并生成响应,最后Filter再对服务器响应进行后处理。
Filter工作原理
在没有过滤器的情况下,用户直接访问web资源使允许的,在过滤器存在的情况下,这种行为使不允许的。过滤器在web应用程序启动的时候从容器中加载。过滤器存在情况下,用户发送的请求先经过过滤器来判断请求额是否合法,再由过滤器发送给服务器,服务器响应之后在将资源响应发送给过滤器,再从过滤器将响应发送给用户。
Filter的生命周期
public void init(FilterConfig filterConfig) throws ServletException;//初始化
和我们编写的Servlet程序一样,Filter的创建和销毁由WEB服务器负责。 web 应用程序启动时,web 服务器将创建Filter 的实例对象,并调用其init方法,读取web.xml配置,完成对象的初始化功能,从而为后续的用户请求作好拦截的准备工作(filter对象只会创建一次,init方法也只会执行一次)。开发人员通过init方法的参数,可获得代表当前filter配置信息的FilterConfig对象。
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException;//拦截请求
这个方法完成实际的过滤操作。当客户请求访问与过滤器关联的URL的时候,Servlet过滤器将先执行doFilter方法。FilterChain参数用于访问后续过滤器。
public void destroy();//销毁
Filter对象创建后会驻留在内存,当web应用移除或服务器停止时才销毁。在Web容器卸载 Filter 对象之前被调用。该方法在Filter的生命周期中仅执行一次。在这个方法中,可以释放过滤器使用的资源。
项目案例
假设有一个登陆系统,包含登录界面,登陆成功界面和失败界面,在没有过滤器情况下,当用户直接输入登陆成功界面或者失败界面的URL时,这中操作是可以成功的。为了避免这种情况,我们就需要过滤器来实现安全控制。
登录界面
<%@ page language="java" import="java.util.*" contentType="text/html; charset=utf-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<base href="<%=basePath%>">
<title>My JSP 'login.jsp' starting page</title>
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="expires" content="0">
<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
<meta http-equiv="description" content="This is my page">
<!--
<link rel="stylesheet" type="text/css" href="styles.css">
-->
</head>
<body>
<form action="<%=request.getContextPath() %>/LoginServlet" method="post">
用户名:<input type="text" name="username">
密码:<input type="password" name="password">
<input type="submit">
</form>
</body>
</html>登陆成功界面和失败界面只有<body></body> 部分不同
成功界面
<h1>登陆成功,欢迎您,<%=request.getSession().getAttribute("username") %></h1>
<hr>失败界面
<h1>登陆失败</h1>
<hr>编写LoginServlet
package com.servlet;
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
/**
* Servlet implementation class LoginServlet
*/
public class LoginServlet extends HttpServlet {
private static final long serialVersionUID = 1L;
/**
* @see HttpServlet#HttpServlet()
*/
public LoginServlet() {
super();
// TODO Auto-generated constructor stub
}
/**
* @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse response)
*/
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// TODO Auto-generated method stub
}
/**
* @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse response)
*/
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// 得到输入的用户名和密码
String username = request.getParameter("username");
String password = request.getParameter("password");
//输入用户名和密码都等于”admin”时,将用户名存入session
if("admin".equals(username) && "admin".equals(password)){
HttpSession session = request.getSession();
session.setAttribute("username", username);
//重定向到登陆成功界面
response.sendRedirect(request.getContextPath()+"/succese.jsp");
}else{
//输入错误的话重定向到失败界面
response.sendRedirect(request.getContextPath()+"/fail.jsp");
}
}
}
到目前为止,我们的登陆系统貌似能够正常运行,但是当我直接访问登陆成功界面或者失败界面,浏览器是能够访问到的,这不是我们所期望的,为了防止这种情况,我们需要filter,当上述情况分发生时,根据情况让他重定向到登陆界面。
编写filter
Loginfilter.java继承filter接口,配置web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">
<display-name>LoginFilter</display-name>
<welcome-file-list>
<welcome-file>index.html</welcome-file>
<welcome-file>index.htm</welcome-file>
<welcome-file>index.jsp</welcome-file>
<welcome-file>default.html</welcome-file>
<welcome-file>default.htm</welcome-file>
<welcome-file>default.jsp</welcome-file>
</welcome-file-list>
<servlet>
<description></description>
<display-name>LoginServlet</display-name>
<servlet-name>LoginServlet</servlet-name>
<servlet-class>com.servlet.LoginServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>LoginServlet</servlet-name>
<url-pattern>/LoginServlet</url-pattern>
</servlet-mapping>
<filter>
<filter-name>LoginFilter</filter-name>
<filter-class>com.loginfilter.Loginfilter</filter-class>
<init-param>
<param-name>nologinpage</param-name>
<param-value>login.jsp;fail.jsp;LoginServlet</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>LoginFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>设计filter逻辑
package com.loginfilter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
/**
* Servlet Filter implementation class Loginfilter
*/
public class Loginfilter implements Filter {
private FilterConfig config;//定义初始化变量
/**
* Default constructor.
*/
public Loginfilter() {
// TODO Auto-generated constructor stub
}
/**
* @see Filter#destroy()
*/
public void destroy() {
// TODO Auto-generated method stub
}
/**
* @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
*/
public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) arg0;
HttpServletResponse response = (HttpServletResponse) arg1;
HttpSession session = request.getSession();
//设置不过滤的界面
String nologinpage = config.getInitParameter("nologinpage");
if(nologinpage!=null){
String[] strArray = nologinpage.split(";");
for (int i = 0; i < strArray.length; i++) {
if(strArray[i]==null||"".equals(strArray[i])) continue;
if(request.getRequestURI().indexOf(strArray[i])!=-1){
chain.doFilter(arg0, arg1);
return;
}
}
}
//如果用户名不为空则放行,否则跳转到login.jsp
if(session.getAttribute("username")!=null){
chain.doFilter(arg0, arg1);
//response.sendRedirect("login.jsp");
}else{
response.sendRedirect("login.jsp");
}
}
/**
* @see Filter#init(FilterConfig)
*/
public void init(FilterConfig fConfig) throws ServletException {
config = fConfig;//将在web.xml定义好的初始化变量加载到config中
}
}
Filter总结
使用filter的好处
在Filter执行的整个过程中客户端和目标资源是不知道过滤器的存在的。Filter提供的是一种声明式的服务,即在不用在原程序上做任何修改,只需要编写Filter,原程序想用Filter,只需要在XML文件中声明一下即可。他具有可插拔的能力,用的时候配上web.XML,不用的时候只需要修改web.xml,对整个系统没有影响,这种声明式的服务非常方便,也非常强大。
其次,使用Filter进行控制业务也非常方便,比如验证用户是否登录,是否有操作权限,判断Session,字符集等,放到Filter里,可以省去大量重复的代码和繁琐的控制。
何时使用Filter比较合适?
对用户请求进行统一认证,权限管理
对用户的访问请求进行记录和审核
对用户发送的数据进行过滤和替换
转换图像格式
对响应的内容进行压缩,减少传输量
对请求和相应进行加密处理
最后注意Filter技术只对post请求起作用
2111
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
