最近在做关于用户登录后的权限管理问题,用到了过滤器和拦截器的问题,在这里总结一下两者的区别和使用,以及两者都存在情况下的执行顺序。
1、过滤器(Filter)
- 过滤器是Servlet规范中的一部分,任何Java web工程都可以使用。
- 过滤器的配置比较简单,直接实现Filter接口即可,也可以通过@webFilter注解实现对特定的URL拦截,Filter接口中定义了三个方法:
- init() :该方法在容器启动初始化过滤器时被调用,它在Filter的整个生命周期只会被调用一次,需要注意的是,该方法必须被执行成功,否则过滤器会不起作用
- doFilter() :容器中的每一次请求都会调用该方法,FilterChain用来调用下一个过滤器Filter
- destroy() :当容器销毁过滤器实例时调用该方法,一般在方法中销毁或关闭资源,在过滤器Filter的整个生命周期中也只会被调用一次
- 总结:它依赖于servlet容器。它可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的,是用来做一些过滤操作,获取我们想要获取的数据,比如:在Javaweb中,对传入的request、response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者Controller进行业务逻辑操作。通常用的场景是:在过滤器中修改字符编码(CharacterEncodingFilter)、在过滤器中修改HttpServletRequest的一些参数(XSSFilter(自定义过滤器)),如:过滤低俗文字、违规字符等。
@Component
public class MyFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("Filter 前置");
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("Filter 处理中");
filterChain.doFilter(servletRequest, servletResponse);
}
@Override
public void destroy() {
System.out.println("Filter 后置");
}
}
2、拦截器(Interceptor)
- 拦截器是Spring框架自己的,只有使用了SpringMVC框架的工程才能使用
- 拦截器属于链式调用,一个应用中可以同时存在多个拦截器Interceptor,一个请求可以触发多个拦截器,每个拦截器的调用会依据它的声明顺序来依次执行
- 在拦截器的处理类中,请求拦截是通过HandlerInterceptor来实现,该接口也定义了三个方法
- preHandle() :这个方法将在请求处理之前进行调用,注意:如果该方法的返回值为false,j将视为当前的请求结束,不仅自身的拦截器会失效,还会导致其他的拦截器也不再执行。
- postHandle() :只有在preHandle方法返回true时才会执行,会在Controller中的方法调用之后,DispatcherServlet返回渲染视图之前被调用。
- afterCompletion() :只有在preHandle()方法返回值为true时才会执行,在整个请求结束之后,DispatcherServlet渲染了对应的视图之后执行。
- 总结:它依赖于web框架,在SpringMVC中就是依赖于SpringMVC框架。在实现上,基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在service或者一个方法前,调用一个方法,或者在方法后,调用一个方法,比如动态代理就是拦截器的简单实现,在调用方法前打印出字符串(或者做其它业务逻辑的操作),也可以在调用方法后打印出字符串,甚至在抛出异常的时候做业务逻辑的操作。由于拦截器是基于web框架的调用,因此可以使用Spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个controller生命周期之内可以多次调用。拦截器可以对静态资源的请求进行拦截处理。
@Component
public class MyInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("Interceptor 前置");
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("Interceptor 处理中");
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("Interceptor 后置");
}
}
将自定义好的拦截器处理类进行注册,并通过addPathPatterns、excludePathPatterns等属性设置需要拦截或需要排除的URL
@Configuration
public class MyMvcConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new MyInterceptor()).addPathPatterns("/**");
registry.addInterceptor(new MyInterceptor1()).addPathPatterns("/**");
}
}
过滤器和拦截器均体现了AOP的编程思想,都可以实现像日志记录、登录验证等功能,但两者还是有具体的区别:
1、两者实现的原理
过滤器和拦截器底层实现不同,过滤器是基于函数回调的,拦截器则是基于Java的反射机制实现的(动态代理),在我们自定义的过滤器中都会实现一个doFilter() 方法,该方法都有一个FilterChain参数,但实际上它是一个回调接口,ApplicationFilterChain是它的实现类,这个实现类内部也有一个doFilter() 方法就是回调方法。
public interface FilterChain {
void doFilter(ServletRequest var1, ServletResponse var2) throws IOException, ServletException;
}
2、两者的本质区别:拦截器(Interceptor)是基于Java的反射机制,而过滤器(Filter)是基于函数回调。从灵活性上说拦截器功能更强大些,Filter能做的事情,都能做,而且可以在请求前,请求后执行,比较灵活。Filter主要是针对URL地址做一个编码的事情、过滤掉没用的参数、安全校验(比较泛的,比如登录不登录之类),太细的话,还是建议用interceptor。不过还是根据不同情况选择合适的。