Servlet - Filtering (过滤器))

已于 2022-10-12 16:28:03 修改
阅读量646 收藏 1
点赞数
文章标签: servlet java spring
于 2022-10-10 15:01:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34377273/article/details/127244223
版权

@[TOC](Servlet - Filtering (过滤器) )

1. What

1.1 什么是Filter

Servlet过滤器Filter是一个小型的web组件,它们通过拦截请求和响应,以便查看、提取或以某种方式操作客户端和服务器之间交换的数据,实现“过滤”的功能。Filter通常封装了一些功能的web组件,过滤器提供了一种面向对象的模块化机制,将任务封装到一个可插入的组件中, Filter组件通过配置文件来声明,并动态的代理。

1.2 Filter与Interceptor的区别

  • 作用域不同
    过滤器依赖于servlet容器,只能在 servlet容器,web环境下使用
    拦截器依赖于spring容器,可以在spring容器中调用,不管此时spring处于什么环境
  • 细粒度的不同
    过滤器的控制比较粗,只能在请求进来时进行处理,对请求和响应进行包装
    拦截器提供更精细的控制,可以在controller对请求处理之前或之后被调用,也可以在渲染视图呈现给用户之后调用
  • 中断链执行的难易程度不同
    拦截器可以 preHandle方法内返回 false 进行中断
    过滤器就比较复杂,需要处理请求和响应对象来引发中断,需要额外的动作,比如将用户重定向到错误页面

简单总结一下,拦截器相比过滤器有更细粒度的控制,依赖于spring容器,可以在请求之前或之后启动,过滤器主要依赖于servlet,过滤器能做的,拦截器基本上都能做

2. Why

2.1 Filter的作用

它的主要作用就是将请求进行过滤处理然后将过滤后的请求交给下一个资源。其本质是Web应用的一个组成部件,承担了Web应用安全的部分功能,阻止不合法的请求和非法的访问。

2.2 Filter的适用场合

  • 将请求的参数写入日志文件
  • 对于资源的访问进行统一的授权与验证
  • 在请求到达实际Servlet之前格式化请求内容或请求头
  • 压缩返回数据后发送给客户端
  • 修改返回内容,增加一些cookie、header等信息

3. How

3.1 Interface of Filter

public interface Filter {
    default void init(FilterConfig paramFilterConfig) throws ServletException;
    void doFilter(ServletRequest paramServletRequest, ServletResponse paramServletResponse, FilterChain 
        paramFilterChain) throws IOException, ServletException;
    default void destroy();
}

过滤器是一个实现了javax.servlet.Filter接口的Java类。javax.servlet.Filter接口定义了三个方法:

  • public void init(FilterConfig filterConfig) — web应用程序启动时,web服务器将创建Filter 的实例对象,并调用其init方法,读取web.xml配置,完成对象的初始化功能,从而为后续的用户请求作好拦截的准备工作(filter对象只会创建一次,-
    init方法也只会执行一次)。开发人员通过init方法的参数,可获得代表当前filter配置信息的FilterConfig对象。
  • public void doFilter (ServletRequest, ServletResponse, FilterChain) — 该方法完成实际的过滤操作,当客户端请求方法与过滤器设置匹配的URL时,Servlet容器将先调用过滤器的doFilter方法。FilterChain用户访问后续过滤器。
  • public void destroy() — Servlet容器在销毁过滤器实例前调用该方法,在该方法中释放Servlet过滤器占用的资源。

3.2 Filter的工作原理与执行顺序

在这里插入图片描述
Filter接口中有一个doFilter方法,当我们编写好Filter,并配置对哪个web资源进行拦截后,WEB服务器每次在调用web资源的service方法之前,都会先调用一下filter的doFilter方法,因此,在该方法内编写代码可达到如下目的:

  1. 调用目标资源之前,让一段代码执行;
  2. 是否调用目标资源(即是否让用户访问web资源);
  3. 调用目标资源之后,让一段代码执行。

web服务器在调用doFilter方法时,会传递一个filterChain对象进来,filterChain对象是filter接口中最重要的一个对象,它也提供了一个doFilter方法,开发人员可以根据需求决定是否调用此方法,调用该方法,则web服务器就会调用web资源的service方法,即web资源就会被访问,否则web资源不会被访问。

3.3 Filter的责任链设计

责任链定义:为了避免请求发送者与多个请求处理者耦合在一起,于是将所有请求的处理者通过前一对象记住其下一个对象的引用而连成一条链;当有请求发生时,可将请求沿着这条链传递,直到有对象处理它为止。

每个Filter过滤器实现javax.servlet.Filter接口,其中包含一个doFilter()方法,该方法接受一个request,resonse以及filterChain作为参数输入,filterChain实现javax.servlet.FilterChain接口(由servlet容器提供),当请求到来时,它将会管理与该请求相关的一系列过滤器的执行,当过滤器执行完毕,doFilter接下来就会调用servlet的service()方法。

责任链模式解决的问题

  • 请求者和接受者松散耦合 — 在责任链模式中,请求者并不知道接受者是谁,也不知道具体如何处理。请求者只负责向责任链发出请求就可以了,该模式下可以有多个接受者处理对象,每个接受者只负责处理自己的部分,其他的就交给其他的接受者去处理。请求在链中传递,接受者处理该请求,或者传递给链中下一个接受者。请求者不再和特定接受者紧密耦合。
  • 通过改变链内成员的或者调整它们的次序,允许你动态地新增或删除责任。

4. Samples

4.1 权限控制

public class AdminFilter implements Filter {

    private final String[] excludedPathArray = new String[]{
            "/static/*", "*.html", "*.js", "*.ico", "*.jpg", "*.png", "*.css"
    };

    /**
     * doFilter Dedicated to intercepting requests. Can do permission checking
     */
    @Override
    public void doFilter(ServletRequest servletRequest, 
                         ServletResponse servletResponse, 
                         FilterChain filterChain) throws ServletException, IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        if (!isFilterExcludeRequest(httpServletRequest)) {
            HttpSession session = httpServletRequest.getSession();
            Object user = session.getAttribute("user");
            // If it is equal to null, it means that you are not logged in yet
            if (user == null) {
                // TODO do business logic
            } else {
                // Let the program continue down to access the user's target resource
                filterChain.doFilter(servletRequest, servletResponse);
            }
        }
    }
    
    /**
     * Determine if the request is directly released by the filter (mainly used for static resource release)
     *
     * @param request HTTP request
     * @return boolean
     */
    private boolean isFilterExcludeRequest(HttpServletRequest request) {
        if (excludedPathArray.length > 0) {
            String url = request.getRequestURI();
            for (String excludedUrl : excludedPathArray) {
                if (excludedUrl.startsWith("*.")) {
                    if (url.endsWith(excludedUrl.substring(1))) {
                        return true;
                    }
                } else if (excludedUrl.endsWith("/*")) {
                    if (!excludedUrl.startsWith("/")) {
                        excludedUrl = "/" + excludedUrl;
                    }
                    String prefixStr = request.getContextPath() +
                            excludedUrl.substring(0, excludedUrl.length() - 1);
                    if (url.startsWith(prefixStr)) {
                        return true;
                    }
                } else {
                    if (!excludedUrl.startsWith("/")) {
                        excludedUrl = "/" + excludedUrl;
                    }
                    String targetUrl = request.getContextPath() + excludedUrl;
                    if (url.equals(targetUrl)) {
                        return true;
                    }
                }
            }
        }
        return false;
    } 
}

4.2 XM:config Filter by XML

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0">
    <display-name>ServletFilterExample</display-name>

    <filter>
        <filter-name>adminFilter</filter-name>
        <filter-class>com.xxx.AdminFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>adminFilter</filter-name>
        <!--        the rule of filter URL-->
        <url-pattern>/*</url-pattern>
    </filter-mapping>

</web-app>

4.3 onfig Filter by Java config

@Configuration
@ConditionalOnClass(name = {
        "org.springframework.web.servlet.config.annotation.WebMvcConfigurer",
        "org.springframework.boot.web.servlet.FilterRegistrationBean"
})
public class FilterConfiguration {

    @Bean
    public FilterRegistrationBean<Filter> traceableFilter() {
        FilterRegistrationBean<Filter> registration = new FilterRegistrationBean<>();
        registration.setFilter(new AdminFilter());
        // 设定优先值为最优先
        registration.setOrder(Integer.MIN_VALUE);
        return registration;
    }

}

4.4 使用Filter对Token进行拦截验证

对于一些敏感数据,在用户每次请求时,都需要对用户的身份进行验证。这里我们使用JWT的token进行身份认证。

  1. 新定义一个拦截器
public class TokenVerifyFilter extends OncePerRequestFilter

OncePerRequestFilter是由Spring.web提供的一个拦截器,它内部定义了一些列框架需要的数据验证流程。

public abstract class OncePerRequestFilter extends GenericFilterBean {
...

    @Override
    public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
        ...
        // Do invoke this filter...
	request.setAttribute(alreadyFilteredAttributeName, Boolean.TRUE);
	try {
		doFilterInternal(httpRequest, httpResponse, filterChain);
	} finally {
		// Remove the "already filtered" request attribute for this request.
		request.removeAttribute(alreadyFilteredAttributeName);
	}
        ....
    }
...
}
  1. 上述代码中,方法doFilterInternal是一个抽象方法,我们需要在自己定义的TokenVerifyFilter实现这个方法。在实现的代码里,添加对token验证的逻辑
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
                           FilterChain filterChain) throws ServletException, IOException {
...
    // get token from the request
    String tokenString = request.getHeader(Constants.ACCESS_TOKEN);
    // If the token does not exist, continue to execute the doFilter method in OncePerRequestFilter
    if (!StringUtils.hasText(tokenString)) {
        filterChain.doFilter(request, response);
        return;
    }
    ...
    // Execute token verification logic
    try {
        varifyToken(tokenString);
    } catch (Exception e) {
        ... // Other operations: logging, assembly of error message objects returned to the caller, etc.
        return;
    }
    // After the token verification is passed, continue to execute the doFilter method in OncePerRequestFilter
    filterChain.doFilter(wrapperRequest, response);
...
}

4.5 使用Filter对marketCode和languageCode进行拦截验证

  1. Define a Filter called MarketCodeAndLanguageCodeFilter
@WebFilter(urlPatterns = "/api/*")
@RequiredArgsConstructor
public class MarketCodeAndLanguageCodeFilter extends OncePerRequestFilter {
   ...
}

@WebFilter(urlPatterns = "/api/") 表示,此拦截器只处理符合正则 /api/ 的 url
@WebFilter(urlPatterns = "/api/") means that this blocker only processes urls that match the regular /api/

  1. 实现 doFilterInternal 方法
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
    FilterChain filterChain) throws ServletException, IOException {
    // Check that marketCode is not empty, otherwise return an error message directly
    String marketCode = request.getHeader(MARKET_CODE);
    if (!MARKET_CODE_LIST.contains(marketCode)) {
        resolveException(HttpStatus.BAD_REQUEST.value(), MARKET_CODE_INVALID.getStatusCode(),
            response);
        return;
    }

    // The same logic handles languageCode
    ...
    // store the marketCode and languageCode to the ContextUtil(it's a thread-local)
    contextUtil.put(MARKET_CODE, marketCode);
    contextUtil.put(LANGUAGE_CODE, languageCode);
    try {
        // Continue with subsequent operations
        filterChain.doFilter(request, response);
    } finally {
        // When the entire request is complete, empty the ContextUtil
        contextUtil.clear();
    }
}
我是王小贱
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
proposal-array-filtering:简化过滤数组的建议
05-09
提案数组过滤 添加Array.prototype.filterOut的建议。 const array = [ 1 , 2 , 3 , 4 , 5 ] ; // filter keeps the items that return true. array . filter ( i => ( i < 3> [1, 2]; // filterOut removes the ...
mathnet-filtering:Math.NET过滤(以前称为Neodym)
02-05
Math.NET过滤Math.NET过滤是一种数字信号处理工具包,提供了... 以下软件包在公共中提供和维护: MathNet.Filtering-核心软件包(MIT许可证) MathNet.Filtering.Kalman-卡尔曼滤波器(LGPL许可证-直到我们可以重新许
Servlet规范之过滤器Filter
coding and writing
11-12 735
Servlet规范之过滤器Filter
Servlet过滤器
weixin_44201223的博客
05-21 379
Filter,即过滤器,是JAVAEE技术规范之一,作用目标资源的请求进行过滤的一套技术规范,是Java Web项目中最为实用的技术之一Filter接口定义了过滤器的开发规范,所有的过滤器都要实现该接口Filter的工作位置是项目中所有目标资源之前,容器在创建HttpServletRequest和HttpServletResponse对象后,会先调用Filter的doFilter方法。
Servlet3-过滤器,监听器
owen66666的博客
11-13 133
1.Filtering的基本思想 将jsp,servlet,html看作资源,容器用来处理这些资源,并为资源提供服务。因此在处理这些资源之前或之后,通过过滤器增加一些通用功能;比如:登录权限验证,字符编码转换,资源访问权限控制,敏感词汇过滤。 1.编写过滤器 packageedu.etime.filter; importjava.io.IOExcepti...
Spring---apache.shiro--过滤器Filter---OncePerRequestFilter抽象类
IT艺术家-rookie的博客
11-17 681
Filter base class that guarantees to be just executed once per request, on any servlet container. It provides a {@link #doFilterInternal} method with HttpServletRequest and HttpServletResponse arguments. 在任何servlet容器上,保证每个请求只执行一次的过滤器基类。它提供了一个带有HttpServlet.
Java Servlet 实战入门教程-10-servlet 过滤器 Filter
热门推荐
10-07 2万+
过滤器 概念 Filter(过滤器)是 Java 组件,允许运行过程中改变进入资源的请求和资源返回的响应中的有效负载和头信息。 Java Servlet API 类和方法提供了一种轻量级的框架用于过滤动态和静态内容。 还描述了如何在 Web 应用配置 filter,以及它们实现的约定和语义。 什么是过滤器 过滤器是一种代码重用的技术,它可以转换 HTTP 请求的内容,响应,及头信息。 过滤器通常不...
java web过滤器排除_Java Web笔记 - Servlet中的Filter过滤器的介绍和使用 编写过滤器...
weixin_31998661的博客
03-02 885
1、过滤器介绍:在Servlet规范2.3中定义了过滤器,它能够对Servlet容器的请求和响应对象进行检查和修改。Servlet过滤器本身并不生成请求和响应对象,只是提供过滤功能。Servlet过滤器能够在Servlet被调用之前检查Request对象,并修改Request Header和Request内容;在Servlet被调用之后检查Response对象,修改Response Header和...
JAVA SpringMVC-08:拦截器
淡若清风
02-23 285
拦截器+文件上传下载        SpringMVC的处理器拦截器类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。开发者可以自己定义一些拦截器来实现特定的功能。 过滤器与拦截器的区别:拦截器是AOP思想的具体应用。 过滤器 servlet规范中的一部分,任何java web工程都可以使用 在url-pattern中配置了/*之后,可以对所有要访问的资源进行拦截 拦截器 拦截器是Spring
Spring----过滤器Filter--Filter接口
IT艺术家-rookie的博客
11-17 492
这是对Filter接口源码注释的翻译以及个人的理解 A filter is an object that performs filtering tasks on either the request to a resource (a servlet or static content), or on the response from a resource, or both. 过滤器是对资源请求(servlet或静态内容)或来自资源的响应执行过滤任务的对象,或两者兼有。 Filters perform
servlet中Filter过滤器介绍
凡是过往,皆为序章
03-11 323
过滤器是指拦截请求,并对传给被请求资源的ServletRequest 或 ServletResponse 进行处理的一个对象。过滤器可以用于登录、加密和解密、会话检查等等。过滤器可以配置为拦截一个或多个资源。如果同一个资源或同一组资源中应用了多个过滤器,则调用顺序有显示显得比较重要,这时候就需要部署描述符(web.xml)来控制其先后顺序。       filter过滤器中使用的接口包括Filte...
Servlet 跳过特定的过滤器Filter
余金兑人的技术角落
11-19 1714
最近维护一个老的SpringMVC的应用,增加CAS单点登录。但是有个特殊的需求是保留系统本身的认证,根据需要可以走CAS单点登录认证,也可以走系统本身的认证。 设计的方案是根据输入的URL进行判断,是否跳过CAS的Filter还是跳过系统本来的认证Filter。 下面上代码: POM文件: <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>ca.
Arduino-signal-filtering-library:Arduino库,用于信号过滤
04-30
更多信息:[免费电子书:“数字信号处理科学家和工程师指南”]( )可用的过滤器: 低通滤波器:Chebychev和Bessel(一阶和二阶) 中值过滤器图书馆使用下载源码将Filter文件夹放置在Arduino1.0 +“库”文件夹中打开...
Particle-Filtering.rar_Particle-Filtering_introducedkyj_resampli
07-15
粒子滤波重采样方法实现,残差重采样、多项式重采样、系统重采样、随机重采样。
scalable-collaborative-filtering:协同过滤
05-13
Mark Fuge-markfuge在gmail-2012年在Python中实现了协作过滤算法,该算法使用体面的随机梯度来优化电影和用户属性的线性损失函数以及L2正则化。 此实现是作为UC Berkeley的CS281B可扩展机器学习课程的作业的一部分而...
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 393
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 444
1.导入hutool的maven依赖。2.复制一下代码执行。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 243
1.导入hutool的maven依赖。2.直接复制一下代码运行。
image-filtering-and-hybrid-images
07-12
### 回答1: 图像滤波和混合图像是数字图像处理中的两个重要概念。 图像滤波是指对图像进行各种运算,以达到去噪、平滑、增强等不同目的的技术。滤波可以通过卷积运算实现,将一个滤波器应用于图像的每个像素,得到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是王小贱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值