过滤器
介绍
- Filter表示过滤器,是 JavaWeb三大组件(Servlet、Filter、Listener)之一。
- 过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能
- 使用了过滤器之后,要想访问web服务器上的资源,必须先经过滤器,过滤器处理完毕之后,才可以访问对应的资源。
- 过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。
快速入门步骤
- 定义过滤器:定义一个类,实现Filter接口、并重写其所有方法
- 配置过滤器:Filter类上加 @WebFilter 注解,配置拦截资源的路径。引导类上加 @ServletComponentScan 开启Servlet组件支持。
定义过滤器
//定义一个类 实现Filter接口 ---这里选择servlet包
public class Demo1 implements Filter {
//初始化方法-只调用一次
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("init 初始化方法执行了");
}
//拦截到请求后执行的方法 可执行多次
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("Demo 拦截到了请求...放行前逻辑");
//放行-----这里如果不放行将无法访问请求
filterChain.doFilter(servletRequest,servletResponse);
}
//销毁方法只调用一次
@Override
public void destroy() {
System.out.println("destroy 销毁方法执行了");
}
}
init方法:过滤器的初始化方法。在web服务器启动的时候会自动的创建Filter过滤器对象,在创建过滤器对象的时候会自动调用init初始化方法,这个方法只会被调用一次。
doFilter方法:这个方法是在每一次拦截到请求之后都会被调用,所以这个方法是会被调用多次的,每拦截到一次请求就会调用一次doFilter()方法。
destroy方法: 是销毁的方法。当我们关闭服务器的时候,它会自动的调用销毁方法destroy,而这个销毁方法也只会被调用一次。
Filter配置
在定义了Filter类后,Filter并不会生效还需要进行配置
配置步骤:
- 在类上添加
@WebFilter
注解 - 指定
urlPatterns
属性标注拦截那些请求
@WebFilter(urlPatterns = "/*") //配置过滤器--/*表示拦截所有请求--后续会详细分析
public class Demo1 implements Filter {
//初始化方法-只调用一次
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("init 初始化方法执行了");
}
//拦截到请求后执行的方法 可执行多次
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("Demo 拦截到了请求...放行前逻辑");
//放行----这里如果不放行将无法访问请求
filterChain.doFilter(servletRequest,servletResponse);
}
//销毁方法只调用一次
@Override
public void destroy() {
System.out.println("destroy 销毁方法执行了");
}
}
开启组件支持
注意:一般web项目不需要
这里以SpringBoot项目为例–需要在SpringBoot启动类上面加上@ServletComponentScan
开启SpringBoot项目对Servlet组件支持
@ServletComponentScan //开启SpringBoot项目对Servlet组件支持
@SpringBootApplication
public class MyspringbootEmpApplication {
public static void main(String[] args) {
SpringApplication.run(MyspringbootEmpApplication.class, args);
}
}
过滤器详解
执行流程
过滤器当中我们拦截到了请求之后,如果希望继续访问后面的web资源,就要执行放行操作,放行就是调用 FilterChain对象当中的doFilter()方法,在调用doFilter()这个方法之前所编写的代码属于放行之前的逻辑。
在放行后访问完 web 资源之后还会回到过滤器当中,回到过滤器之后如有需求还可以执行放行之后的逻辑,放行之后的逻辑我们写在doFilter()这行代码之后
//定义一个类 实现Filter接口 ---这里选择servlet包
@WebFilter(urlPatterns = "/*") //配置过滤器--/*表示拦截所有请求--后续会详细分析
public class Demo1 implements Filter {
//初始化方法-只调用一次
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("init 初始化方法执行了");
}
//拦截到请求后执行的方法 可执行多次
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("Demo 拦截到了请求...放行前逻辑");
//放行
filterChain.doFilter(servletRequest,servletResponse);
System.out.println("放行后逻辑");
}
//销毁方法只调用一次
@Override
public void destroy() {
System.out.println("destroy 销毁方法执行了");
}
}
注意:这里我们是入门案例所以重写了初始化方法和销毁方法。但是其实过滤器底层这两方法默认了 不强求重写。而且在实际开发中很少用到这两个方法。所以根据实际需求使用即可
拦截路径详解
在入门案例中 我们指定了拦截路径为拦截所有、下面介绍过滤器的拦截路径、配置不同资源拦截路径
拦截路径 | urlPatterns值 | 含义 |
---|---|---|
拦截具体路径 | /login | 只有访问/login路径时才会被拦截 |
目录拦截 | /emps/* | 访问/emps下的所有资源都会被拦截 |
拦截所有 | /* | 拦截所有 |
过滤器链
在web服务器上、如过我们定义了两个过滤器 这两个过滤器就形成了过滤器链。
过滤器链执行流程
- 按照类名顺序去判断先执行哪个过滤器
- 先执行第一个过滤器的放行前方法、放行后再执行第二个过滤器
- 执行到了最后一个过滤器放行后才会访问web资源
- 访问完成后执行放行后逻辑时和反向执行。
过滤器使用场景
过滤器最普遍的使用场景就是登录校验
此处以JWT令牌登录结合Filter及校验为例 其余登录方式逻辑类似
两个问题
-
所有的请求,拦截到了之后,都需要校验令牌吗?
答案:登录请求例外
-
拦截到请求后,什么情况下才可以放行,执行业务操作?
答案:有令牌,且令牌校验通过(合法);否则都返回未登录错误结果
具体流程
具体业务步骤
- 获取请求url
- 判断请求是否是登录请求、如果是放行
- 如果不是 获取请求头中的令牌(token)
- 判断令牌是否存在 不存在返回错误结果
- 如果存在、解析token解析失败 返回错误结果
- 解析成功 放行
具体代码
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
//前置:强制转换为http协议的请求对象、响应对象 (转换原因:要使用子类中特有方法)
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
//1 获取请求url
String url = request.getRequestURI();
System.out.println("请求路径是" + url);
//2 判断请求路径是否登录请求--如果是放行
if (url.contains("login")) {
filterChain.doFilter(request, response);
return; //结束方法
}
//3 获取请求头中令牌token
String token = request.getHeader("token");
System.out.println("从请求头获取的令牌" + token);
//4 判断令牌是否存在,如果不存在返回错误结果(为登录)
if (!StringUtils.hasLength(token)) {
System.out.println("token不存在");
Result responseResult = Result.error("NOT_LOGIN");
//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的用于实现对象和json的转换工具类)
String json = JSONObject.toJSONString(responseResult);
//编码处理
response.setContentType("application/json;charset=utf-8");
//响应
response.getWriter().write(json);
return;
}
//5 解析失败 返回错误结果未登录
try {
JwtUtil.parseJWT(token);
} catch (Exception e) {
System.out.println("解析失败");
Result responseResult = Result.error("NOT_LOGIN");
//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的用于实现对象和json的转换工具类)
String json = JSONObject.toJSONString(responseResult);
response.setContentType("application/json;charset=utf-8");
//响应
response.getWriter().write(json);
return;
}
//6.放行
filterChain.doFilter(request, response);
}
}
拦截器
介绍
- 是一种动态拦截方法调用的机制,类似于过滤器。
- 拦截器是Spring框架中提供的,用来动态拦截控制器方法的执行。
拦截器的作用:
- 拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
快速入门
步骤:
- 定义拦截器、实现
HanderInterceptor
接口、并重写其所有方法 - 注册配置拦截器: 实现
WebMvcConfigurer
接口,并重写addInterceptors
方法
定义拦截器
//自定义拦截器
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {
//目标资源方法执行前执行 返回true 放行 返回false不放行
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("preHandle .... ");
return true; //true表示放行
}
//目标方法资源执行后执行
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("postHandle ... ");
}
//视图渲染完毕后执行 最后执行
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("afterCompletion .... ");
}
}
注意:
preHandle方法:目标资源方法执行前执行。 返回true:放行 返回false:不放行
postHandle方法:目标资源方法执行后执行
afterCompletion方法:视图渲染完毕后执行,最后执行
注册配置拦截器
@Configuration //声明为配置类
public class WebConfig implements WebMvcConfigurer {
//自定义的拦截器对象
@Autowired
private LoginCheckInterceptor loginCheckInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//注册自定义拦截对象
registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");
//设置请求的拦截路径 表示/**拦截所有请求
/*
* 注意:在之前过滤器的拦截所有请求时 使用的是/* 但是这里需要使用两个*号
*/
}
}
拦截器详解
拦截路径
在入门程序中我们指定的是拦截所有路径 但是在配置拦截器的时候 我们不仅可以指定拦截那些资源 也可以指定不拦截那些资源 此时就需要调用 excludePathPatterns("不拦截路径")
方法指定不拦截那些路径
@Configuration //声明为配置类
public class WebConfig implements WebMvcConfigurer {
//自定义的拦截器对象
@Autowired
private LoginCheckInterceptor loginCheckInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//注册自定义拦截对象
registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**")//设置拦截器拦截哪些请求 这里表示所有
.excludePathPatterns("/login"); //设置拦截器不拦截那些请求
/*
* 注意:在之前过滤器的拦截所有请求时 使用的是/* 但是这里需要使用两个*号
*/
}
}
常见拦截路径
拦截路径 | 含义 | 解释 |
---|---|---|
/* | 一级路径 | 能匹配/login 、/emps等 但是能匹配 /depts/1等路径 |
/** | 任意级路径 | 能匹配/depts,/depts/1,/depts/1/2 |
/depts/* | /depts下的一级路径 | 能匹配/depts/1,不能匹配/depts/1/2,/depts |
/depts/** | /depts下的任意级路径 | 能匹配/depts,/depts/1,/depts/1/2,不能匹配/emps/1 |
执行流程
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3cDJzUZv-1689998611233)(C:\Users\27310\Desktop\6.png)]
- 当我们打开浏览器来访问部署在web服务器当中的web应用时,此时我们所定义的过滤器会拦截到这次请求。拦截到这次请求之后,它会先执行放行前的逻辑,然后再执行放行操作。而由于我们当前是基于springboot开发的,所以放行之后是进入到了spring的环境当中,也就是要来访问我们所定义的controller当中的接口方法。
- Tomcat并不识别所编写的Controller程序,但是它识别Servlet程序,所以在Spring的Web环境中提供了一个非常核心的Servlet:DispatcherServlet(前端控制器),所有请求都会先进行到DispatcherServlet,再将请求转给Controller。
- 当我们定义了拦截器后,会在执行Controller的方法之前,请求被拦截器拦截住。执行
preHandle()
方法,这个方法执行完成后需要返回一个布尔类型的值,如果返回true,就表示放行本次操作,才会继续访问controller中的方法;如果返回false,则不会放行(controller中的方法也不会执行)。 - 在controller当中的方法执行完毕之后,再回过来执行
postHandle()
这个方法以及afterCompletion()
方法,然后再返回给DispatcherServlet,最终再来执行过滤器当中放行后的这一部分逻辑的逻辑。执行完毕之后,最终给浏览器响应数据。
拦截器实现登录校验
拦截器实现
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {
//目标资源方法执行前执行 返回true 放行 返回false不放行
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("preHandle .... ");
//1 获取请求url
String url = request.getRequestURI();
System.out.println("请求路径是" + url);
//2 判断请求路径是否登录请求--如果是放行
if (url.contains("login")) {
return true; //结束方法
}
//3 获取请求头中令牌token
String token = request.getHeader("token");
System.out.println("从请求头获取的令牌" + token);
//4 判断令牌是否存在,如果不存在返回错误结果(为登录)
if (!StringUtils.hasLength(token)) {
System.out.println("token不存在");
Result responseResult = Result.error("NOT_LOGIN");
//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的用于实现对象和json的转换工具类)
String json = JSONObject.toJSONString(responseResult);
//编码处理
response.setContentType("application/json;charset=utf-8");
//响应
response.getWriter().write(json);
//不放行
return false;
}
//5 解析失败 返回错误结果未登录
try {
JwtUtil.parseJWT(token);
} catch (Exception e) {
System.out.println("解析失败");
Result responseResult = Result.error("NOT_LOGIN");
//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的用于实现对象和json的转换工具类)
String json = JSONObject.toJSONString(responseResult);
response.setContentType("application/json;charset=utf-8");
//响应
response.getWriter().write(json);
//不放行
return false;
}
//6.放行
return true;
}
}
配置拦截器实现
@Configuration //声明为配置类
public class WebConfig implements WebMvcConfigurer {
//自定义的拦截器对象
@Autowired
private LoginCheckInterceptor loginCheckInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//注册自定义拦截对象
registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**")//设置拦截器拦截哪些请求 这里表示所有
.excludePathPatterns("/login"); //设置拦截器不拦截那些请求
/*
* 注意:在之前过滤器的拦截所有请求时 使用的是/* 但是这里需要使用两个*号
*/
}
}
拦截器和过滤器区别
-
接口规范不同:过滤器需要实现Filter接口,而拦截器需要实现HandlerInterceptor接口。
rceptor loginCheckInterceptor;@Override
public void addInterceptors(InterceptorRegistry registry) {
//注册自定义拦截对象
registry.addInterceptor(loginCheckInterceptor).addPathPatterns(“/**”)//设置拦截器拦截哪些请求 这里表示所有
.excludePathPatterns(“/login”); //设置拦截器不拦截那些请求
/*
* 注意:在之前过滤器的拦截所有请求时 使用的是/* 但是这里需要使用两个*号
*/
}
}
## 拦截器和过滤器区别
- 接口规范不同:过滤器需要实现Filter接口,而拦截器需要实现HandlerInterceptor接口。
- 拦截范围不同:过滤器Filter会拦截所有的资源,而Interceptor只会拦截Spring环境中的资源。