一、Filter的介紹及使用
什麼是過濾器?
與Servlet相似,過濾器是一些web應用程序組件,可以綁定到一個web應用程序中。但是與其他web應用程序組件不同的是,過濾器是"鏈"在容器的處理過程中的。這就意味着它們會在servlet處理器之前訪問一個進入的請求,並且在外發響應信息返回到客戶前訪問這些響應信息。這種訪問使得過濾器可以檢查並修改請求和響應的內容。
過濾器適用於那些地方?
l爲一個web應用程序的新功能建立模型(可被添加到web應用程序中或者從web應用程序中刪除而不需要重寫基層應用程序代碼);
l向過去的代碼添加新功能。
過濾器放在容器結構的什麼位置?
過濾器放在web資源之前,可以在請求抵達它所應用的web資源(可以是一個Servlet、一個Jsp頁面,甚至是一個HTML頁面)之前截獲進入的請求,並且在它返回到客戶之前截獲輸出請求。Filter:用來攔截請求,處於客戶端與被請求資源之間,目的是重用代碼。Filter鏈,在web.xml中哪個先配置,哪個就先調用。在filter中也可以配置一些初始化參數。
Java中的Filter並不是一個標準的Servlet,它不能處理用戶請求,也不能對客戶端生成響應。主要用於對HttpServletRequest進行預處理,也可以對HttpServletResponse進行後處理,是個典型的處理鏈。
Filter有如下幾個用處:
l在HttpServletRequest到達Servlet之前,攔截客戶的HttpServletRequest。
l根據需要檢查HttpServletRequest,也可以修改HttpServletRequest頭和數據。
l在HttpServletResponse到達客戶端之前,攔截HttpServletResponse。
l根據需要檢查HttpServletResponse,可以修改HttpServletResponse頭和數據。
Filter有如下幾個種類:
l用戶授權的Filter: Filter負責檢查用戶請求,根據請求過濾用戶非法請求。
l日誌Filter:詳細記錄某些特殊的用戶請求。
l負責解碼的Filter:包括對非標準編碼的請求解碼。
l能改變XML內容的XSLTFilter等。
一個Filter可負責攔截多個請求或響應:一個請求或響應也可被多個請求攔截。
創建一個Filter只需兩個步驟:
(1)創建Filter處理類:
(2)在web.xml文件中配置Filter。
創建Filter必須實現javax.servlet.Filter接口,在該接口中定義了三個方法。
void init(FilterConfig config):用於完成Filter的初始化。
void destroy():用於Filter銷燬前,完成某些資源的回收。
void doFilter(ServletRequest request, ServletResponse response,FilterChain chain):實現過濾功能,該方法就是對每個請求及響應增加的額外處理。
過濾器Filter也具有生命週期:init()->doFilter()->destroy(),由部署文件中的filter元素驅動。在servlet2.4中,過濾器同樣可以用於請求分派器,但須在web.xml中聲明,<dispatcher>INCLUDE或FORWARD或REQUEST或ERROR</dispatcher>該元素位於filter-mapping中。
Filter常用的場景:
例一、日誌的記錄,當有請求到達時,在該過濾器中進行日誌的記錄。處理完成後,進入後續的Filter或者處理。
步驟1:編寫Filter類
packagetest.filter;
importjavax.servlet.Filter;
importjavax.servlet.FilterChain;
importjavax.servlet.FilterConfig;
importjavax.servlet.ServletContext;
importjavax.servlet.ServletRequest;
importjavax.servlet.ServletResponse;
importjavax.servlet.http.HttpServletRequest;
publicclassLogFilterimplementsFilter {
privateFilterConfigconfig;
//實現初始化方法
publicvoidinit(FilterConfig config) {
this.config= config;
}
//實現銷燬方法
publicvoiddestroy() {
this.config=null;
}
publicvoiddoFilter(ServletRequest request, ServletResponse response,
FilterChain chain) {
//獲取ServletContext對象,用於記錄日誌
ServletContext context =this.config.getServletContext();
longbefore = System.currentTimeMillis();
System.out.println("開始過濾... ");
//將請求轉換成HttpServletRequest請求
HttpServletRequest hrequest = (HttpServletRequest) request;
//記錄日誌
context.log("Filter已經截獲到用戶的請求的地址: "+ hrequest.getServletPath());
try{
// Filter只是鏈式處理,請求依然轉發到目的地址。
chain.doFilter(request, response);
}catch(Exception e) {
e.printStackTrace();
}
longafter = System.currentTimeMillis();
//記錄日誌
context.log("過濾結束");
//再次記錄日誌
context.log("請求被定位到"+ ((HttpServletRequest) request).getRequestURI()
+"所花的時間爲: "+ (after - before));
}
}
在上面的請求Filter中,僅在日誌中記錄請求的URL,對所有的請求都執行chain.doFilter(request,reponse)方法,當Filter對請求過濾後,依然將請求發送到目的地址。
步驟2:在web.xml中配置Filter
<!--定義Filter -->
<filter>
<!-- Filter的名字-->
<filter-name>log</filter-name>
<!-- Filter的實現類-->
<filter-class> test.filter.LogFilter</filter-class>
</filter>
<!--定義Filter攔截地址-->
<filter-mapping>
<!-- Filter的名字-->
<filter-name>log</filter-name>
<!-- Filter負責攔截的URL -->
<url-pattern>/filter/*</url-pattern>
</filter-mapping>
通過上述步驟的操作,此時就可以通過URI進行訪問。具體訪問後會在log文件中的localhost文件中產生具體的訪問日誌。如下所示:
2010-12-28 21:12:50 org.apache.catalina.core.ApplicationContext log
信息:請求被定位到/examples/jsp/jsp2/el/basic-arithmetic.jsp所花的時間爲: 0
2010-12-28 21:14:55 org.apache.catalina.core.ApplicationContext log
信息: Filter已經截獲到用戶的請求的地址: /jsp/jsp2/el/basic-comparisons.jsp
2010-12-28 21:14:56 org.apache.catalina.core.ApplicationContext log
信息:過濾結束
例二、進行編碼的修正,當有新的請求時,需要將用戶傳送過來的字符進行重新編碼,以使其可以滿足服務器的編碼格式。
1、編寫EncodingFilter類
packagetest.filter;
importjava.io.IOException;
importjavax.servlet.Filter;
importjavax.servlet.FilterChain;
importjavax.servlet.FilterConfig;
importjavax.servlet.ServletContext;
importjavax.servlet.ServletException;
importjavax.servlet.ServletRequest;
importjavax.servlet.ServletResponse;
publicclassEncodingFilterimplementsFilter {
privateFilterConfigfilterConfig=null;
privateStringencoding=null;
//實現銷燬方法
publicvoiddestroy() {
encoding=null;
}
//進行具體的過濾
publicvoiddoFilter(ServletRequest request, ServletResponse response,
FilterChain chain)throwsIOException, ServletException {
//獲取ServletContext對象,用於記錄日誌
ServletContext context =this.filterConfig.getServletContext();
context.log("開始設置編碼格式");
String encoding = getEncoding();
if(encoding ==null){
encoding ="gb2312";
}
//在請求裏設置上指定的編碼
request.setCharacterEncoding(encoding);
chain.doFilter(request, response);
context.log("成功設置了編碼格式");
}
//初始化配置
publicvoidinit(FilterConfig filterConfig)throwsServletException {
this.filterConfig= filterConfig;
this.encoding= filterConfig.getInitParameter("encoding");
}
privateString getEncoding() {
returnthis.encoding;
}
}
步驟2:在web.xml中配置Filter
<!--定義Filter -->
<filter>
<!-- Filter的名字-->
<filter-name>encoding</filter-name>
<!-- Filter的實現類-->
<filter-class> test.filter.EncodingFilter</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>gb2312</param-value>
</init-param>
</filter>
<!--定義Filter攔截地址-->
<filter-mapping>
<!-- Filter的名字-->
<filter-name> encoding </filter-name>
<!-- Filter負責攔截的URL -->
<url-pattern>/encode/*</url-pattern>
</filter-mapping>
通過上述步驟的操作,此時就可以通過URI進行訪問。
例三、用戶權限的認證,當用戶發送請求時,可以對用戶的身份信息進行驗證,如果能夠通過驗證則接下來再進行其它操作,否則直接不進入下一步的處理。
1、編寫身份認證SecurityFilter類
packagetest.filter;
importjava.io.IOException;
importjavax.servlet.Filter;
importjavax.servlet.FilterChain;
importjavax.servlet.FilterConfig;
importjavax.servlet.ServletContext;
importjavax.servlet.ServletException;
importjavax.servlet.ServletRequest;
importjavax.servlet.ServletResponse;
importjavax.servlet.http.HttpServletRequest;
importjavax.servlet.http.HttpServletResponse;
importjavax.servlet.http.HttpSession;
publicclassSecurityFilterimplementsFilter {
privateFilterConfigfilterConfig;
//初始化方法實現
@Override
publicvoidinit(FilterConfig filterConfig)throwsServletException {
this.filterConfig= filterConfig;
}
//身份認證的過濾
@Override
publicvoiddoFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throwsIOException, ServletException {
ServletContext context =this.filterConfig.getServletContext();
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
HttpSession session = req.getSession();
//登錄後才能進入下一步處理,否則直接進入錯誤提示頁面
if(session.getAttribute("username") !=null) {
context.log("身份認證通過,進入下一步處理");
chain.doFilter(request, response);
}else{
context.log("身份認證失敗,直接返回");
res.sendRedirect("../failure.jsp");
}
}
//實現銷燬方法
@Override
publicvoiddestroy() {
this.filterConfig=null;
}
}
步驟2:在web.xml中配置Filter
<!--定義Filter -->
<filter>
<!-- Filter的名字-->
<filter-name>security</filter-name>
<!-- Filter的實現類-->
<filter-class> test.filter.SecurityFilter</filter-class>
</filter>
<!--定義Filter攔截地址-->
<filter-mapping>
<!-- Filter的名字-->
<filter-name> security </filter-name>
<!-- Filter負責攔截的URL -->
<url-pattern>/security/*</url-pattern>
</filter-mapping>
通過上述步驟的操作,此時就可以通過URI進行訪問。此時如果能夠取得Session中的username值時,會直接進入下一步處理,否則直接進入錯誤頁面。
二、過濾鏈FilterChain
兩個過濾器,EncodingFilter負責設置編碼,SecurityFilter負責控制權限,服務器會按照web.xml中過濾器定義的先後循序組裝成一條鏈,然後一次執行其中的doFilter()方法。執行的順序就如下圖所示,執行第一個過濾器的chain.doFilter()之前的代碼,第二個過濾器的chain.doFilter()之前的代碼,請求的資源,第二個過濾器的chain.doFilter()之後的代碼,第一個過濾器的chain.doFilter()之後的代碼,最後返回響應。
執行的代碼順序是:
l執行EncodingFilter.doFilter()中chain.doFilter()之前的部分;request.setCharacterEncoding(encoding);
l執行SecurityFilter.doFilter()中chain.doFilter()之前的部分:判斷用戶是否已登錄。
l如果用戶已登錄,則訪問請求的資源。
l如果用戶未登錄,則頁面重定向到:/failure.jsp。
l執行SecurityFilter.doFilter()中chain.doFilter()之後的部分:這裏沒有代碼。
l執行EncodingFilter.doFilter()中chain.doFilter()之後的部分:寫入已經完成的日誌。
過濾鏈的好處是,執行過程中任何時候都可以打斷,只要不執行chain.doFilter()就不會再執行後面的過濾器和請求的內容。而在實際使用時,就要特別注意過濾鏈的執行順序問題,像EncodingFilter就一定要放在所有Filter之前,這樣才能確保在使用請求中的數據前設置正確的編碼。
FilterChain對象從哪裏來?
從上圖可以理解,FilterChain是過濾器鏈,也就是說,當有多個過濾器要執行時,通過這個參數調用下一個過濾器。
FilterChain是應用服務器的對象。