web篇(一)过滤器、拦截器、监听器

已于 2022-02-15 10:04:19 修改
阅读量1.4k 收藏 5
点赞数
分类专栏: web 文章标签: 前端 spring java
于 2019-11-10 10:57:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cwl421/article/details/102993886
版权

项目中之前也都用过这些东西,现在写出来,一是记录在项目中的使用,二是全面认识一下三大利器。思来想去,我认为这三大利器总的目的是为了解耦,让代码更加简洁可读,所以问题来了,它是怎样实现的呢?这种方式是不是我也可以用到我自己编码的过程中呢?这都要自己一点点去探索,可能这篇不能马上解决这个问题,但在后续的文章会慢慢解读。

目录

一、过滤器和拦截器的区别

二、监听器

三、使用场景

四、总结    

一、过滤器和拦截器的区别

  • 使用范围不一样。过滤器是作用在servlet容器中的,而且拦截器是spring组件,作用在spring中的。
  • 使用的资源不一样。由于第一点,过滤器只能涉及到request/repnose等;而拦截器归spring管理,spring中的配置、bean等都可以使用。
  • 深度不一样。过滤器只在servlet前后起作用;而过滤器可以在方法前后、异常抛出前后等,拦截器有更大的灵活性,故在spring架构中,建议优先使用拦截器

二、监听器

监听器的作用是监听一些事件的发生从而进行一些操作,比如监听ServletContext,HttpSession的创建,销毁,从而执行一些初始化加载配置文件的操作,当Web容器启动后,Spring的监听器会启动监听,监听是否创建ServletContext的对象,如果发生了创建ServletContext对象这个事件(当web容器启动后一定会生成一个ServletContext对象,所以监听事件一定会发生),ContextLoaderListener类会实例化并且执行初始化方法,将spring的配置文件中配置的bean注册到Spring容器中

常用的监听器:

1.ServletContextListener -- 监听servletContext对象的创建以及销毁

    1.1    contextInitialized(ServletContextEvent arg0)   -- 创建时执行

    1.2    contextDestroyed(ServletContextEvent arg0)  -- 销毁时执行

2.HttpSessionListener  -- 监听session对象的创建以及销毁

    2.2   sessionCreated(HttpSessionEvent se)   -- 创建时执行

    2.2   sessionDestroyed(HttpSessionEvent se) -- 销毁时执行

3.ServletRequestListener -- 监听request对象的创建以及销毁

    3.1    requestInitialized(ServletRequestEvent sre) -- 创建时执行

    3.2    requestDestroyed(ServletRequestEvent sre) -- 销毁时执行

4.ServletContextAttributeListener  -- 监听servletContext对象中属性的改变

    4.1    attributeAdded(ServletContextAttributeEvent event) -- 添加属性时执行

    4.2    attributeReplaced(ServletContextAttributeEvent event) -- 修改属性时执行

    4.3    attributeRemoved(ServletContextAttributeEvent event) -- 删除属性时执行

5.HttpSessionAttributeListener  --监听session对象中属性的改变

    5.1    attributeAdded(HttpSessionBindingEvent event) -- 添加属性时执行

    5.2    attributeReplaced(HttpSessionBindingEvent event) -- 修改属性时执行

    5.3    attributeRemoved(HttpSessionBindingEvent event) -- 删除属性时执行

6.ServletRequestAttributeListener  --监听request对象中属性的改变

    6.1    attributeAdded(ServletRequestAttributeEvent srae) -- 添加属性时执行

    6.2    attributeReplaced(ServletRequestAttributeEvent srae) -- 修改属性时执行

    6.3    attributeRemoved(ServletRequestAttributeEvent srae) -- 删除属性时执行

7.自定义监听器

三、使用场景

拦截器:

参数校验(sql注入检验)、做xss攻击校验(两种方式,一种是流,一种是直接获取),做校验签名,做鉴权,请求计数(限流)等。

这里遇到的问题是做xss攻击时,两种方式

第一种是:有的controller方法是直接从request中获取的此参数 

public class XssFilter implements Filter {  
  
    @Override  
    public void destroy() {  
        // TODO Auto-generated method stub  
  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {  
        XSSRequestWrapper xssRequest = new XSSRequestWrapper ((HttpServletRequest) request);  
        chain.doFilter(xssRequest, response);  
    }  
  
    @Override  
    public void init(FilterConfig arg0) throws ServletException {  
        // TODO Auto-generated method stub  
  
    }  
  
}
public class XSSRequestWrapper extends HttpServletRequestWrapper {

    /**
     * 构造方法
     *
     * @param request
     */
    public XSSRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 处理参数值
     */
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = dealString(values[i]);
        }
        return encodedValues;
    }

    /**
     * 覆盖
     *
     * @param value
     * @return
     * @date 上午9:30:43
     * @author DuChaoWei
     * @descripte
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return dealString(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return dealString(value);
    }

    /**
     * 字符串处理
     *
     * @param value
     * @return
     * @date 上午9:30:43
     * @author DuChaoWei
     * @descripte
     */
    private String dealString(String value) {
        if (value != null) {
            // 采用spring的StringEscapeUtils工具类 实现
            StringEscapeUtils.escapeHtml(value);
            StringEscapeUtils.escapeJavaScript(value);
            StringEscapeUtils.escapeSql(value);
        }
        return value;
    }

}

第二种是:有的controller方法是通过注解@ReuqestBody转换成实体对象获取的参数


public class CheckSQLInjectionFilter implements Filter {
	
	private List<String> excludes = new ArrayList<>();
	
	public void setExcludes(List<String> excludes) {
		this.excludes = excludes;
	}
	public List<String> getExcludes() {
		return excludes;
	}
 
 
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		String excludes = filterConfig.getInitParameter("excludes");
		if (StringUtil.isNotBlank(excludes)) {
			String[] array = excludes.split(",");
			for (String url : array) {
				this.excludes.add(url);
			}
		}
	}
 
 
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest)request;
		HttpServletResponse resp = (HttpServletResponse)response;
		String requestPath = req.getRequestURI();
		requestPath = requestPath.substring(req.getContextPath().length() + 1);
		while (requestPath.endsWith("/")){ //预防uri末尾有 ‘/’
			requestPath = requestPath.substring(0, requestPath.length()-1);
		}
		for (String str : excludes) {
			if (str.endsWith("*")) {
				if (requestPath.startsWith(str.substring(0, str.length() - 1))){
					chain.doFilter(req, resp);
					return;
				}
			}
			if(str.equals(requestPath)) {
				chain.doFilter(req, resp);
				return;
			}
		}
		Map<String, Object> paramMap = new HashMap<>();
		String type = req.getContentType();
		ServletRequest requestWrapper = null;  
	    if(req instanceof HttpServletRequest) {  
	    	   requestWrapper = new ReaderReuseHttpServletRequestWrapper(req); 
	    }
		Reader reader = requestWrapper.getReader();
		// 读取Request Payload数据
		String Payload = IOUtils.toString(reader);
		if (type != null && type.startsWith("application/json")){
			JSONObject jsonObject = JSONObject.parseObject(Payload);
			if (jsonObject != null) {
				for(Map.Entry<String, Object> entry : jsonObject.entrySet()) {
					paramMap.put(entry.getKey(), entry.getValue());
				}
			}
		} else if(type != null && type.startsWith("text/plain")) {
			String[] kvs = Payload.split("&");
			for (String kv : kvs) {
				String[] lf = kv.split("=");
				paramMap.put(lf[0], lf[1]);
			}
			
		}
		// 获取请求参数
		Enumeration en = req.getParameterNames();
		while(en.hasMoreElements()) {
			String name = (String) en.nextElement();
			String value = req.getParameter(name);
			paramMap.put(name, value);
		}
		for(Map.Entry<String, Object> node : paramMap.entrySet()) {
			boolean valid = true;
			if (node.getValue() instanceof String)
				valid = CheckSQLInjectionUtil.validate((String)node.getValue());
			if (!valid) {
				resp.setContentType("application/json;charset=UTF-8");
				PrintWriter writer = resp.getWriter();
				writer.write("{\"success\":false,\"msg\":\""+HttpStatus.SECURITY.getName()+"\",\"code\":"+HttpStatus.SECURITY.getCode()+"}");
				writer.flush();
				return;
			}
		}
		chain.doFilter(requestWrapper, resp);
	}
 
 
	@Override
	public void destroy() {
		
	}
	
	/**
	 * 两个方法都注明方法只能被调用一次,由于RequestBody是流的形式读取,
	 * 那么流读了一次就没有了,所以只能被调用一次。
	 * 既然是因为流只能读一次的原因,那么只要将流的内容保存下来,就可以实现反复读取了
	 * @author LIU
	 *
	 */
	public static class ReaderReuseHttpServletRequestWrapper extends HttpServletRequestWrapper 	{
 
 
	    private final byte[] body;  
	      
	    public ReaderReuseHttpServletRequestWrapper(HttpServletRequest request)   
	    		throws IOException {  
	        super(request);
	        body = IOUtils.toString(request.getReader()).getBytes(Charset.forName("UTF-8"));
	    }  
	  
	    @Override  
	    public BufferedReader getReader() throws IOException {  
	        return new BufferedReader(new InputStreamReader(getInputStream()));  
	    }  
	  
	    @Override  
	    public ServletInputStream getInputStream() throws IOException {  
	        final ByteArrayInputStream bais = new ByteArrayInputStream(body);  
	        return new ServletInputStream() {
 
 
	            @Override
	            public int read() throws IOException {
	                return bais.read();
	            }
	
	        }; 
	    }  
	}
}

类似于上段代码,可以从流中获取参数,在一一校验。当然还有其他好多方法使用。

拦截器

从灵活性上说拦截器功能更强大些,Filter能做的事情,都能做,而且可以在请求前,请求后执行,比较灵活。Filter主要是针对URL地址做一个编码的事情、过滤掉没用的参数、安全校验(比较泛的,比如登录不登录之类),太细的话,还是建议用interceptor。不过还是根据不同情况选择合适的。

比如:只有登录的用户才能有权限进入某些菜单。

监听器

https://www.jianshu.com/p/95f2ed98aaad

四、总结    

主要思想是尽可能的优化代码,使代码更加优雅,感觉这个很有趣,大家有好多的想法和思路,比如lombok是怎样简化代码的,深入其中,自得乐趣。

解决在Filter中读取Request中的流后, 然后在Controller中@RequestBody的参数无法注入而导致 400 错误_java_gchsh的博客-CSDN博客_requestbody sql注入

小崔编程
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析JAVA过滤器监听器拦截器的区别
01-20
1.过滤器:所谓过滤器顾名思义是用来过滤的,在java web中,你传入的request,response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者struts的action进行业务逻辑,比如过滤掉非法url(不是login.do的地址请求,如果用户没有登陆都过滤掉),或者在传入servlet或者struts的action前统一设置字符集,或者去除掉一些非法字符(聊天室经常用到的,一些骂人的话)。filter 流程是线性的, url传来之后,检查之后,可保持原来的流程继续向下执行,被下一个filter, servlet接收等. 2.监听器:这个东西在c/s模式里面经
拦截器过滤器的区别
08-20
拦截器过滤器的区别,从实现原理到应用场景各处区别
过滤器(filter)和拦截器(Interceptor)的区别以及使用场景
最新发布
itScholar001的博客
05-31 1014
过滤器实现的是 javax.servlet.Filter 接口,而这个接口是在Servlet规范中定义的,也就是说过滤器Filter 的使用要依赖于Tomcat等容器,导致它只能在web程序中使用。拦截器 Interceptor 是在请求进入servlet后,在进入Controller之前进行预处理的,Controller 中渲染了对应的视图之后请求结束。过滤器拦截器 底层实现方式不相同,过滤器是基于函数回调的,拦截器则是基于Java的反射机制(动态代理)实现的。过滤器拦截器的触发时机不同。
七、过滤器(Filter)、拦截器(Interceptor)、监听器(Listener)
L_D_Y_K的博客
01-04 589
七、过滤器(Filter)、拦截器(Interceptor)、监听器(List 1、过滤器(Filter) 依赖于Servlet容器,是JavaEE标准,是在请求进入容器之后,还未进入Servlet之前进行预处理,并且在请求结束返回给前端这之间进行后期处理。在实现上,基于函数回调,它可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的,是用来做一些过滤操作,获取我们想要获取的数据,比如:在Javaweb中,对传入的request、response...
监听器过滤器拦截器,参考多文章整合而成,没有千一律的抽象回答!
m0_46638350的博客
01-28 980
Component //注意当前类必须受Spring容器控制 //定义拦截器类,实现HandlerInterceptor接口 public class MyInterceptor implements HandlerInterceptor {
过滤器拦截器详解
热门推荐
大佬请赐教
02-17 1万+
过滤器详解 依赖于servlet容器,实现基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据,过滤器一般用于登录权限验证、资源访问权限控制、敏感词汇过滤、字符编码转换等等操作,便于代码重用,不必每个servlet中进行冗余操作。 Java中的Filter并不是一个标准的Servlet ,它...
Java中的拦截器过滤器监听器用法详解
08-30
Java中的拦截器过滤器监听器是三个重要的概念,它们在Java Web开发中扮演着非常重要的角色。本文将详细介绍Java中的拦截器过滤器监听器的用法,包括它们的功能、使用方法及相关注意事项。 一、拦截器 拦截...
WEB封包拦截分析器.rar
04-05
本文将围绕“WEB封包拦截分析器”这一主题,深入探讨其工作原理、应用领域以及源码分析。 首先,我们要理解什么是WEB封包。在网络通信中,数据通常会被分割成多个小块,每个小块被称为数据包或封包。这些封包包含了...
servlet+jsp实现过滤器 防止用户未登录访问
01-20
我们需要指定过滤器的名称、实现类,并设置过滤器应该拦截哪些URL。配置如下: ```xml <filter-name>LoginFilter <filter-class>com.test.filter.LoginFilter</filter-class> <filter-name>LoginFilter ...
过滤器学习笔记一(Filter教你快速入门)
12-20
过滤器(Filter)是Java Web开发中的重要组成部分,它是三大核心组件(Servlet、Filter、Listener)之一。过滤器的主要职责是拦截用户的请求,并在请求到达实际的目标Servlet之前进行预处理,或者在响应返回给客户端...
过滤器拦截器区别、使用场景笔记整理
M_Jack的博客
11-17 7828
拦截器是基于java的反射机制的,而过滤器是基于函数回调。   ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器。   ③拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求起作用。   ④拦截器可以访问action上下文、值栈里的对象,而过滤器不能访问。   ⑤在action的生命周期中,拦截器可以多次被调用,而过滤器只能在容器初始化时被调用一次。   6....
过滤器监听器拦截器的区别,你都搞懂了吗?
分享Java技术知识,共同成长进步!
09-06 2074
过滤器 Servlet中的过滤器Filter是实现了javax.servlet.Filter接口的服务器端程序,主要的用途是过滤字符编码、做一些业务逻辑判断等。 其工作原理是,只要你在web.xml文件配置好要拦截的客户端请求,它都会帮你拦截到请求,此时你就可以对请求或响应(Request、Response)统一设置编码,简化操作;同时还可以进行逻辑判断,如用户是否已经登录、有没有权限访问该页面等等工作,它是随你的web应用启动而启动的,只初始化一次,以后就可以拦截相关的请求,只有当你的web应用停止
过滤器拦截器监听器的区别
顺其自然~专栏
12-27 1156
SpringMVC 中的Interceptor 拦截请求是通过来实现的。在SpringMVC 中定义一个Interceptor 非常简单,主要有两种方式,第一种方式是要定义的Interceptor类要实现了Spring 的接口,或者是这个类继承实现了HandlerInterceptor 接口的类,比如Spring 已经提供的实现了HandlerInterceptor 接口的抽象类HandlerInterceptorAdapter;第二种方式是实现Spring的。
拦截器过滤器监听器
欢迎来到我的博客
07-18 333
过滤器(Filter):当你有一堆东西的时候,你只希望选择符合你要求的某一些东西。定义这些要求的工具,就是过滤器拦截器(Interceptor):在一个流程正在进行的时候,你希望干预它的进展,甚至终止它进行,这是拦截器做的事情。监听器(Listener):当一个事件发生的时候,你希望获得这个事件发生的详细信息,而并不想干预这个事件本身的进程,这就要用到监听器
web开发中拦截器过滤器的作用和区别-附上代码示例
专注后端开发
03-31 1602
Web开发中,拦截器(Interceptor)和过滤器(Filter)都是常用的组件,它们可以对HTTP请求进行预处理、后处理以及一些额外的操作。在这文章中,我们将详细讲述拦截器过滤器的作用和区别,并使用Java代码举例说明它们的使用。一、拦截器过滤器的作用二、拦截器过滤器的区别范围不同拦截器是针对具体的某个请求进行的处理,比如处理SpringMVC框架下的请求。而过滤器则作用于整个应用程序,通过匹配URL路径来确定是否需要过滤该请求。执行顺序不同。
过滤器拦截器的区别,以及拦截器的使用
qq_45597674的博客
11-24 1099
二者区别 过滤器基于Servlet容器,应用场景为对字符编码、跨域等问题进行过滤,实现Filter接口 拦截器SpringMVC中实现的一种基于Java反射(动态代理)机制的方法增强工具,拦截器的实现HandlerInterceptor 接口,并实现接口的preHandle、postHandle和afterCompletion方法。 编写完拦截器之后,通过一个配置类设置拦截器,并且可以通过addPathPatterns和excludePathPatterns执行哪些请求需要被拦截,哪些不需要被拦截。 相
拦截器过滤器详解,使用方式与注意事项,使用场景以及区别与联系
reresrse的博客
05-03 4771
拦截器过滤器详解,使用方式与注意事项,使用场景以及区别与联系
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值