Java Web 开发：过滤器 (Filter) vs 拦截器 (Interceptor) - 深度剖析与选择指南

在 Java Web 开发中，过滤器 (Filter) 和拦截器 (Interceptor) 都是用于在请求处理过程中进行拦截和处理的组件。 它们都可以在请求到达目标资源之前或之后执行一些操作，例如身份验证、授权、日志记录、数据转换等。 然而，它们在实现原理、作用范围、生命周期和使用场景等方面存在着显著的区别。 本文将深入剖析过滤器和拦截器的区别，并提供选择指南，帮助开发者在实际项目中做出正确的选择。

1. 实现原理

• 过滤器 (Filter): 过滤器是基于 Servlet 规范实现的。 它本质上是一个实现了 javax.servlet.Filter 接口的 Java 类。 过滤器通过配置在 web.xml 文件中，或者使用 @WebFilter 注解进行注册，Servlet 容器负责管理过滤器的生命周期和调用。

• 拦截器 (Interceptor): 拦截器是基于 AOP (面向切面编程) 思想实现的。 在 Spring 框架中，拦截器通常通过实现 org.springframework.web.servlet.HandlerInterceptor 接口来定义。 拦截器由 Spring 容器管理，并且可以访问 Spring 容器中的各种资源，例如 Bean 对象、配置信息等。

2. 作用范围

• 过滤器 (Filter): 过滤器拦截的是所有进入 Web 应用的请求，包括静态资源 (例如 HTML、CSS、JavaScript 文件) 和动态资源 (例如 Servlet、JSP 文件)。 过滤器可以配置拦截的 URL 模式，例如 /* 表示拦截所有请求。

• 拦截器 (Interceptor): 拦截器通常只拦截 Controller 的请求。 在 Spring MVC 框架中，拦截器可以配置拦截的 URL 模式，例如 /users/* 表示拦截所有以 /users/ 开头的请求。

3. 生命周期

• 过滤器 (Filter): 过滤器的生命周期由 Servlet 容器管理。 过滤器在 Servlet 容器启动时被初始化 (调用 init() 方法)，在容器销毁时被销毁 (调用 destroy() 方法)。 每次请求到达时，Servlet 容器会调用过滤器的 doFilter() 方法来处理请求。

• 拦截器 (Interceptor): 拦截器的生命周期由 Spring 容器管理。 拦截器在 Spring 容器启动时被创建，在容器销毁时被销毁。 拦截器有三个主要的方法：

  • preHandle(): 在 Controller 方法执行之前调用。
  • postHandle(): 在 Controller 方法执行之后，但在视图渲染之前调用。
  • afterCompletion(): 在整个请求处理完成之后调用，包括视图渲染完成之后。

4. 依赖性

• 过滤器 (Filter): 过滤器依赖于 Servlet 容器。 只要是支持 Servlet 规范的 Web 容器，都可以使用过滤器。

• 拦截器 (Interceptor): 拦截器依赖于 Spring 框架。 只有在 Spring MVC 框架中才能使用拦截器。

5. 功能

• 过滤器 (Filter): 过滤器主要用于处理通用的请求处理，例如：

  • 字符编码转换
  • 安全检查 (例如防止 XSS 攻击)
  • 请求日志记录
  • 压缩响应数据

• 拦截器 (Interceptor): 拦截器更适合处理业务相关的逻辑，例如：

  • 权限验证
  • 用户身份验证
  • 事务管理
  • 性能监控
  • 修改请求参数或响应数据

6. 总结对比

特性	过滤器 (Filter)	拦截器 (Interceptor)
实现原理	Servlet 规范	AOP (面向切面编程)
作用范围	拦截所有 Web 请求 (包括静态和动态资源)	通常只拦截 Controller 请求
生命周期	Servlet 容器管理	Spring 容器管理
依赖性	依赖于 Servlet 容器	依赖于 Spring 框架
功能	通用的请求处理 (例如编码转换、安全检查)	业务相关的逻辑 (例如权限验证、事务管理)
灵活性	相对较低，无法访问 Spring 容器中的对象	较高，可以访问 Spring 容器中的对象

7. 如何选择

在选择过滤器和拦截器时，需要根据实际需求进行考虑。

• 如果你的应用没有使用 Spring 框架，或者只需要处理通用的请求处理，那么过滤器是更好的选择。 例如，你可以使用过滤器来统一设置字符编码，防止乱码问题。

• 如果你的应用使用了 Spring 框架，并且需要处理 Controller 层的业务逻辑，那么拦截器会是更好的选择。 例如，你可以使用拦截器来验证用户的身份，判断用户是否具有访问某个 Controller 方法的权限。

• 在某些情况下，可以同时使用过滤器和拦截器。 例如，可以使用过滤器进行安全检查，然后使用拦截器进行权限验证。

8. 示例代码

过滤器示例 (使用 @WebFilter 注解):

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")
public class EncodingFilter implements Filter {

    private String encoding = "UTF-8";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        String encodingParam = filterConfig.getInitParameter("encoding");
        if (encodingParam != null) {
            encoding = encodingParam;
        }
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        httpRequest.setCharacterEncoding(encoding);
        response.setCharacterEncoding(encoding);
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        // Cleanup code, if any
    }
}

收起

拦截器示例 (实现 HandlerInterceptor 接口):

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class AuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 在 Controller 方法执行之前执行
        // 例如：检查用户是否已登录
        if (request.getSession().getAttribute("user") == null) {
            response.sendRedirect("/login");
            return false; // 阻止请求继续执行
        }
        return true; // 允许请求继续执行
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        // 在 Controller 方法执行之后，但在视图渲染之前执行
        // 例如：向模型中添加一些通用数据
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 在整个请求处理完成之后执行
        // 例如：记录日志、清理资源
    }
}

展开

Spring MVC 配置 (配置拦截器):

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new AuthInterceptor())
                .addPathPatterns("/users/**") // 拦截 /users/ 下的所有请求
                .excludePathPatterns("/login", "/register"); // 排除 /login 和 /register 请求
    }
}

9. 总结

过滤器和拦截器都是 Java Web 开发中重要的组件，它们可以帮助开发者在请求处理过程中进行拦截和处理，实现各种功能。 理解它们的区别，并根据实际需求选择合适的方案，可以提高代码的可维护性和可扩展性。 希望本文能够帮助你更好地理解和使用过滤器和拦截器。