拦截器与过滤器（一）介绍与使用方法

一、拦截器：

1、介绍

依赖于web框架，如在SpringMVC中就是依赖于SpringMVC框架。在实现上,基于Java的反射机制，属于面向切面编程（AOP）的一种运用。

2、使用场景：

由于拦截器是基于web框架的调用，因此可以使用Spring的依赖注入（DI）进行一些业务操作，同时一个拦截器实例在一个controller生命周期之内可以多次调用。但是缺点是只能对controller请求进行拦截，对其他的一些比如直接访问静态资源的请求则没办法进行拦截处理。

3、springboot使用拦截器：

自定义拦截器类实现HandlerInterceptor接口，再把这个拦截器类加载到全文配置中。如拦截器记录访问日志：

（1）自定义拦截器类：

import com.alibaba.fastjson.JSON;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;
@Component
public class ActionHandle implements HandlerInterceptor {

    @Autowired
    private UserActionLogService userActionLogService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
        try {
            String userId = SpringContextUtil.getCurrentUserId();
            String requestUrl = httpServletRequest.getRequestURI();
            Map<String, String[]> originRequestMap = httpServletRequest.getParameterMap();
            Map<String,String> requestMap = new HashMap<String,String>();
            for (String key : originRequestMap.keySet()) {
                String[] values = originRequestMap.get(key);
                requestMap.put(key,values[0]);
            }
            String requestParam = JSON.toJSONString(requestMap);
            String requestIp = httpServletRequest.getRemoteAddr();
            UserActionLog userActionLog = new UserActionLog(userId, requestUrl, requestParam, requestIp, "tableAdmin");
            userActionLogService.insert(userActionLog);
        } catch (Exception e) {
        }
        return true;

    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

（2）、加载（编程式加载） ：

package com.demo.config;


import com.demo.interceptor.MyInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.SpringBootConfiguration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@SpringBootConfiguration
public class MySpringMVCConfig extends WebMvcConfigurerAdapter {

    @Autowired
    private ActionHandle myInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(myInterceptor).addPathPatterns("/**");
    }


}

 也可以使用xml式加载。 

4、demo：

现有页面

     

export function updateReport(report, emails, views) {
  const id = report.id
  const reportName = report.reportName
  const safeLevel = report.safeLevel
  const reportUrl = report.reportUrl
  const remark = report.remark
  const reportType = report.reportType
  return request({
 
    url: '/report/updateReport',
    method: 'post',
    data: {
      id,
      reportName,
      reportUrl,
      safeLevel,
      remark,
      reportType,
      emails,
      views
    }
  })
 
 
export function deleteReport(reportId) {
  return request({
    url: '/report/deleteReport',
    method: 'post',
    data: {
      reportId
    }
  })
}

列表有查看、编辑、删除功能，前端判断该条数据的creator与当前登录用户是不是同一个人，如果是则展示编辑和删除按钮。为防止恶意攻击，可以在后端再加个拦截器，双重控制。

 
@Component
public class ReportHandler implements HandlerInterceptor{
	
	@Autowired
	private ReportService reportService;
 
	@Override
	public void afterCompletion(HttpServletRequest arg0,
			HttpServletResponse arg1, Object arg2, Exception arg3)
			throws Exception {
		// TODO Auto-generated method stub
		
	}
 
	@Override
	public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1,
			Object arg2, ModelAndView arg3) throws Exception {
		// TODO Auto-generated method stub
		
	}
 
	@Override
	public boolean preHandle(HttpServletRequest req, HttpServletResponse arg1,
			Object arg2) throws Exception {
		
		try{
			String requestURI = req.getRequestURI();
            //是删除或者编辑请求
			if(requestURI.indexOf("updateReport")!=-1 || requestURI.indexOf("deleteReport")!=-1){
				String reportId = null;
              //删除的参数为reportId
				if(req.getParameter("reportId") != null){
					reportId = req.getParameter("reportId");
				}
             //编辑的参数为id
				if(req.getParameter("id") != null){
					reportId = req.getParameter("id");
				}
				Report report = reportService.getById(reportId);
				User user = new SessionUtil().getCurrentUser();
				if(!report.getCreator().equals(user.getId())){
					return false;
				}
			}
			return true;
		}catch (Exception e) {
			return true;
		}
		
	}
 
}

二、过滤器：

1、介绍

它依赖于servlet容器。在实现上，基于函数回调，它可以对几乎所有请求进行过滤，但是缺点是一个过滤器实例只能在容器初始化时调用一次

2、使用场景

使用过滤器的目的，是用来做一些过滤操作，获取我们想要获取的数据，比如：在Javaweb中，对传入的request、response提前过滤掉一些信息，或者提前设置一些参数，然后再传入servlet或者Controller进行业务逻辑操作。通常用的场景是：

（1）在过滤器中修改字符编码（CharacterEncodingFilter）

（2）在过滤器中修改HttpServletRequest的一些参数（XSSFilter(自定义过滤器)），如：过滤低俗文字、危险字符等。

3、springboot使用过滤器：

自定义过滤器类实现Javax.serlvet.Filter接口（对应servlet-api.jar），加上Component注解可以被扫描到即可，不需要其他的配置了。demo：

package com.demo.filter;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import java.io.IOException;
@Component
public class MyFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.print("filter");
        chain.doFilter(request,response);
    }

    @Override
    public void destroy() {

    }
}

三、比较：

1、关系结构：

容器是Tomcat，拦截器，过滤器，他们的关系结构：

①：拦截器是基于java的反射机制，而过滤器基于函数回调。
②：过滤器依赖于servlet容器，拦截器不依赖于servlet容器。
③：拦截器只能对action请求起作用，而过滤器几乎对所有的请求都起作用。
④：拦截器可以访问action上下文，值栈里的对象，而过滤器不能。
⑤：在action的生命周期中，拦截器可以多次被调用，而过滤器只能在容器初始化时被调用一次。
⑥：拦截器可以获取IOC容器中的各个bean，而过滤器就不行，（在拦截器里注入一个service，可以调用业务逻辑）。
⑦：过滤器是在请求进入容器后，但进入servlert前进行预处理的。响应请求也是，在servlet处理结束后，返回给客户端前触发。而拦截器提供了三个方法支持（1）preHandle：预处理回调方法，实现处理器的预处理（如登录检查），第三个参数为响应的处理器（如我们上一章的Controller实现）； 返回值：true表示继续流程（如调用下一个拦截器或处理器）；false表示流程中断（如登录检查失败），不会继续调用其他的拦截器或处理器，此时我们需要通过response来产生响应；postHandle：后处理回调方法，实现处理器的后处理（但在渲染视图之前），此时我们可以通过modelAndView（模型和视图对象）对模型数据进行处理或对视图进行处理，modelAndView也可能为null。
afterCompletion：整个请求处理完毕回调方法，即在视图渲染完毕时回调，如性能监控中我们可以在此记录结束时间并输出消耗时间，还可以进行一些资源清理，类似于try-catch-finally中的finally，但仅调用处理器执行链中preHandle返回true的拦截器的afterCompletion。

2、区别：

（1）使用范围不同：Filter是Servlet规范规定的，只能用于web程序中。而拦截器既可以用于web程序，也可以用于Application、swing程序中。
（2）规范不同：Filter是在servlet规范中定义的，是Servlet容器支持的，而拦截器是在spring容器内的，是spring框架支持的。
（3）使用的资源不同：同其他的代码块一样，拦截器也是一个spring的组件，归spring管理，配置在spring文件中，因此能使用spring里的任何资源，独享。例如service对象、数据源、事务管理等，通过IOC注入到拦截器即可；而Filter不能。
（4）深度不同：Filter只在Servlet前后起作用。而拦截器能深入到方法前后、异常抛出前后等。因此拦截器的使用灵活性更大。所以在Spring为基础的构架的程序中，优先使用拦截器。

（5）原理不同：

拦截器（Interceptor）是基于Java的反射机制；过滤器（Filter）是基于函数回调。

3、过滤器、拦截器、监听器使用场景：

（1）拦截器：

用于对象拦截，行为干预（可以改变拦截对象的属性和行为）。从灵活性上说拦截器功能更强大些，Filter能做的事情，都能做，而且可以在请求前，请求后执行，比较灵活。

参数校验（sql注入检验）、做xss攻击校验（两种方式，一种是流，一种是直接获取），做校验签名，做鉴权，请求计数（限流）等。

（2）过滤器：

，Filter主要是针对URL地址做一个编码的事情、过滤掉没用的参数、安全校验（比较泛的，比如登录不登录之类）。用于属性甄别，对象收集（不可改变过滤对象的属性和行为）

（3）监听器：用于对象监听，行为记录（不可改变监听对象的属性和行为）

4、执行顺序：

过滤前-拦截前-Action处理-拦截后-过滤后