1、介绍
在JavaWeb中,过滤器是一种关键的技术组件,用于拦截、转换或处理在应用程序中传入的请求和相应的响应。它们在Web开发中具有重要作用
请求处理与预处理:
过滤器允许开发者在请求到达目标资源(如Servlet或JSP)之前对其进行预处理。这意味着你可以在不改变基础代码逻辑的情况下,对请求进行验证、修饰、记录或转换。这样的灵活性有助于实现诸如身份验证、日志记录、字符编码设置等预处理操作
响应处理与后处理:
在请求被处理完并准备发送给客户端之前,过滤器可以拦截响应,从而允许开发者对即将返回的内容进行处理。这为实现缓存控制、压缩响应、封装响应内容等操作提供了方便和机会。
安全性与权限管理:
通过过滤器,开发者可以轻松实现对资源的保护、身份验证和授权功能。这也包括检查用户会话、防止跨站点请求伪造(CSRF)等安全性关键方面的功能。
性能优化:
通过使用过滤器,可以对请求和响应进行诸如缓存、压缩、日志记录等关键任务,这有助于优化应用程序的性能和响应时间,特别是对于大访问量的网站或需要高性能的应用程序而言
代码复用与模块化:
过滤器的引入使得代码的复用和模块化变得更加容易。多个资源可以共享同一个过滤器来实现共性任务,同时也易于维护和更新
2、过滤器的基本概念工作原理
初始化: 过滤器在Web应用启动时进行初始化。在初始化期间,开发者可以执行一些必要的配置和资源初始化任务。
请求处理: 当一个请求到达时,过滤器首先拦截这个请求。在doFilter方法中可以对请求进行处理,例如身份验证、参数校验等。然后它可以将请求继续传递给下一个过滤器或目标资源。
响应处理: 在目标资源处理完请求并生成响应后,过滤器可以对响应进行进一步处理,例如加入特定的HTTP头部、压缩响应内容等。
销毁: 当Web应用程序关闭或重新部署时,过滤器将被销毁。在销毁阶段,过滤器可以释放资源或进行一些必要的系统清理工作。
3、过滤器的配置
3.1、注解配置
在自定义的Filter类上使用注解@WebFilter(value=“/过滤目标资源”)
@WebFilter(urlPatterns = "/*",initParams = {@WebInitParam(name = "encoding",value = "UTF-8")})
3.2、xml配置
<!--过滤器的xml配置 -->
<filter>
<!--名称-->
<filter-name>sf</filter-name>
<!--过滤器类全称-->
<filter-class>com.qf.web.filter.SecondFilter</filter-class>
</filter>
<!--映射路径配置-->
<filter-mapping>
<!--名称-->
<filter-name>sf</filter-name>
<!--过滤的url匹配规则和Servlet类似-->
<url-pattern>/*</url-pattern>
</filter-mapping>
3.3、实现过程
Servlet API中提供了一个Filter接口,开发人员编写一个Java类实现了这个接口即可,这个Java类称之为过滤器(Filter)
-
编写Java类实现Filter接口
-
在doFilter方法中编写拦截逻辑
-
设置拦截路径
@WebFilter("/myservlet1")//过滤路径
public class MyFilter1 implements Filter {
//初始化过滤器
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("过滤器初始化了........init... "+filterConfig);
}
//执行过滤
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
System.out.println("过滤前........doFilter ");
//放行
chain.doFilter(request, response);
System.out.println("过滤后.......doFilter");
}
//销毁
@Override
public void destroy() {
System.out.println("销毁了.....destroy");
}
}
4、过滤器的生命周期
1.初始化阶段
当Web应用程序启动时,过滤器将被初始化。在此阶段,过滤器实例将被创建并调用其init方法,开发者可以在这一阶段进行一些初始化操作,如获取配置参数、建立数据库连接等。
2. 请求处理阶段
一旦过滤器完成初始化,它就可以拦截到达目标资源的请求。在doFilter方法中,开发者可以对请求进行必要的操作,例如验证、日志记录、修改请求或响应等。过滤器可以将请求传递给下一个过滤器或目标资源,也可以直接对请求进行处理。
3. 销毁阶段
当Web应用程序关闭或重新部署时,过滤器将被销毁。在此阶段,Web容器将调用过滤器的destroy方法,开发者可以在这一阶段进行一些清理工作,如关闭数据库连接、释放资源等。
5、案例
5.1、字符编码设置
@WebFilter(urlPatterns = "/*",initParams = {@WebInitParam(name = "encoding",value = "UTF-8")})
public class EncodingFilter implements Filter {
private String encoding = "UTF-8";
@Override
public void init(FilterConfig filterConfig) throws ServletException {
String encoding = filterConfig.getInitParameter("encoding");
if (encoding != null && !"".equals(encoding)) {
//说明用户配置了编码格式
this.encoding = encoding;
}
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("====================EncodingFilter====================");
//统一设置请求体的编码格式,因为所有的请求都会经过这个过滤器,所有请求都在这里设置了请求体的编码格式
servletRequest.setCharacterEncoding(this.encoding);
//让请求继续向下执行
filterChain.doFilter(servletRequest, servletResponse);
}
@Override
public void destroy() {
}
}
5.2、登陆权限
LoginServlet是登录页面,你登录成功了就会跳转到HelloServlet页面,在没有设置特殊的情况下直接访问HelloServlet也是可以的,所以我们使用过滤器来设置拦截请求因为这样方便
LoginServlet
@WebServlet(urlPatterns = "/login")
public class LoginServlet extends HttpServlet {
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
String username = req.getParameter("username");
String password = req.getParameter("password");
if ("zhangsan".equals(username) && "123".equals(password)) {
//用户登录成功,
//将用户的登录信息保存到 session 中
//获取 session 对象
HttpSession session = req.getSession();
session.setAttribute("loginuser", username);
// 跳转到项目首页
resp.sendRedirect("/f/hello");
} else {
//用户登录失败,回到登录页面重新登录
resp.sendRedirect("/f/login.html");
}
}
}
login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录</title>
</head>
<body>
<form action="/f/login" method="post">
<table>
<tr>
<td>用户名:</td>
<td><input type="text" name="username"></td>
</tr>
<tr>
<td>用户密码:</td>
<td><input type="password" name="password"></td>
</tr>
<tr>
<td><input type="submit" value="登录"></td>
</tr>
</table>
</form>
</body>
</html>
HelloServlet
@WebServlet(urlPatterns = "/hello")
public class HelloServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//获取当前会话
HttpSession session = req.getSession();
//查看 session 中是否有登录对象
Object loginuser = session.getAttribute("loginuser");
if (loginuser == null) {
//说明这个用户没有登录
resp.sendRedirect("/f/login.html");
return;
}
req.setAttribute("name", "hangsan");
req.getSession().setAttribute("age", 99);
resp.getWriter().write("hello");
}
}
PermissFilter
public class PermissFilter implements Filter {
/**
* 这个是过滤器初始化的方法,类似于 servlet 中的初始化方法
*
* @param filterConfig
* @throws ServletException
*/
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
/**
* 这个类似于 Servlet 中的 service 方法,每一个请求被拦截下来之后,都会经过这个方法
*
* @param servletRequest
* @param servletResponse
* @param filterChain
* @throws IOException
* @throws ServletException
*/
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("====================PermissFilter====================");
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
//首先,找出来当前请求的地址
String requestURI = request.getRequestURI();
if (requestURI.contains("login")) {
//那就说明用户可能是想要访问 /login 或者是 /login.html 页面
//此时不用拦截,直接继续向下执行
filterChain.doFilter(servletRequest, servletResponse);
} else {
//说明不是登录请求
HttpSession session = request.getSession();
Object loginuser = session.getAttribute("loginuser");
if (loginuser == null) {
//说明没登录
response.sendRedirect("/f/login.html");
} else {
//说明用户已经登录过了
filterChain.doFilter(servletRequest, servletResponse);
}
}
}
/**
* 这个是过滤器销毁的方法,类似于 Servlet 中的销毁方法
*/
@Override
public void destroy() {
}
}
6、过滤器链
客户端对服务器请求之后,服务器调用Servlet之前会执行一组过滤器(多个过滤器),那么这组过滤器就称为一条过滤器链。
每个过滤器实现某个特定的功能,当第一个Filter的doFilter方法被调用时,Web服务器会创建一个代表Filter链的FilterChain对象传递给该方法。在doFilter方法中,开发人员如果调用了FilterChain对象的doFilter方法,则Web服务器会检查FilterChain对象中是否还有filter,如果有,则调用第2个filter,如果没有,则调用目标资源。