一.什麼是過濾器
過濾器JavaWeb三大組件之一,它與Servlet很相似!不它過濾器是用來攔截請求的,而不是處理請求的。當用戶請求某個Servlet時,會先執行部署在這個請求上的Filter,如果Filter“放行”,那麼會繼承執行用戶請求的Servlet;如果Filter不“放行”,那麼就不會執行用戶請求的Servlet。
其實可以這樣理解,當用戶請求某個Servlet時,Tomcat會去執行註冊在這個請求上的Filter,然後是否“放行”由Filter來決定。可以理解爲,Filter來決定是否調用Servlet!當執行完成Servlet的代碼後,還會執行Filter後面的代碼。
二.過濾器之hello world
public class HelloFilter implements Filter {
public void init(FilterConfig filterConfig) throws ServletException {}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
System.out.println("filter start...");
chain.doFilter(request, response);
System.out.println("filter end...");
}
public void destroy() {}
}
在web.xml文件中部署Filter:
<filter>
<filter-name>helloFilter</filter-name>
<filter-class>cn.itcast.filter.HelloFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>helloFilter</filter-name>
<url-pattern>/index.jsp</url-pattern>
</filter-mapping>
有很多人總是錯誤的認爲,一個請求在給客戶端輸出之後就算是結束了,這是不對的!其實很多事情都需要在給客戶端響應之後才能完成!
三.過濾器詳細
過濾器的生命週期
- init(FilterConfig):在服務器啓動時會創建Filter實例,並且每個類型的Filter只創建一個實例,從此不再創建!在創建完Filter實例後,會馬上調用init()方法完成初始化工作,這個方法只會被執行一次;
- doFilter(ServletRequest req,ServletResponse res,FilterChain
chain):這個方法會在用戶每次訪問“目標資源(<url-pattern>index.jsp<url-pattern>)”時執行,如果需要“放行”,那麼需要調用FilterChain的doFilter(ServletRequest,ServletResponse)方法,如果不調用FilterChain的doFilter()方法,那麼目標資源將無法執行; - destroy():服務器會在創建Filter對象之後,把Filter放到緩存中一直使用,通常不會銷燬它。一般會在服務器關閉時銷燬Filter對象,在銷燬Filter對象之前,服務器會調用Filter對象的destory()方法。
FilterConfig
與ServletConfig相似,與web.xml文件中的配置信息對應。下面是FilterConfig的功能介紹:
- ServletContext getServletContext():獲取ServletContext的方法;
- String getFilterName():獲取Filter的配置名稱;與<filter-name>元素對應;
- String getInitParameter(String
name):獲取Filter的初始化配置,與<init-param>元素對應; - Enumeration getInitParameterNames():獲取所有初始化參數的名稱。
FilterChain
doFilter()方法的參數中有一個類型爲FilterChain的參數,它只有一個方法:doFilter(ServletRequest,ServletResponse)。
前面我們說doFilter()方法的放行,讓請求流訪問目標資源!但這麼說不嚴密,其實調用該方法的意思是,“我(當前Filter)”放行了,但不代表其他人(其他過濾器)也放行。
也就是說,一個目標資源上,可能部署了多個過濾器,就好比在你去北京的路上有多個打劫的匪人(過濾器),而其中第一夥匪人放行了,但不代表第二夥匪人也放行了,所以調用FilterChain類的doFilter()方法表示的是執行下一個過濾器的doFilter()方法,或者是執行目標資源!
如果當前過濾器是最後一個過濾器,那麼調用chain.doFilter()方法表示執行目標資源,而不是最後一個過濾器,否則chain.doFilter()表示執行下一個過濾器的doFilter()方法。
多個過濾器執行順序
一個目標資源可以指定多個過濾器,過濾器的執行順序是在web.xml文件中的部署順序:
<filter>
<filter-name>myFilter1</filter-name>
<filter-class>cn.itcast.filter.MyFilter1</filter-class>
</filter>
<filter-mapping>
<filter-name>myFilter1</filter-name>
<url-pattern>/index.jsp</url-pattern>
</filter-mapping>
<filter>
<filter-name>myFilter2</filter-name>
<filter-class>cn.itcast.filter.MyFilter2</filter-class>
</filter>
<filter-mapping>
<filter-name>myFilter2</filter-name>
<url-pattern>/index.jsp</url-pattern>
</filter-mapping>
public class MyFilter1 extends HttpFilter {
public void doFilter(HttpServletRequest request, HttpServletResponse response,
FilterChain chain) throws IOException, ServletException {
System.out.println("filter1 start...");
chain.doFilter(request, response);//放行,執行MyFilter2的doFilter()方法
System.out.println("filter1 end...");
}
}
public class MyFilter2 extends HttpFilter {
public void doFilter(HttpServletRequest request, HttpServletResponse response,
FilterChain chain) throws IOException, ServletException {
System.out.println("filter2 start...");
chain.doFilter(request, response);//放行,執行目標資源
System.out.println("filter2 end...");
}
}
<body>
This is my JSP page. <br>
<h1>index.jsp</h1>
<%System.out.println("index.jsp"); %>
</body>
當有用戶訪問index.jsp頁面時,輸出結果如下:
filter1 start…
filter2 start…
index.jsp
filter2 end…
filter1 end…
四種攔截方式
我們來做個測試,寫一個過濾器,指定過濾的資源爲b.jsp,然後我們在瀏覽器中直接訪問b.jsp,你會發現過濾器執行了!
但是,當我們在a.jsp中request.getRequestDispathcer(“/b.jsp”).forward(request,response)時,就不會再執行過濾器了!也就是說,默認情況下,只能直接訪問目標資源纔會執行過濾器,而forward執行目標資源,不會執行過濾器!
其實過濾器有四種攔截方式!分別是:REQUEST、FORWARD、INCLUDE、ERROR。
- REQUEST:直接訪問目標資源時執行過濾器。包括:在地址欄中直接訪問、表單提交、超鏈接、重定向,只要在地址欄中可以看到目標資源的路徑,就是REQUEST;
- FORWARD:轉發訪問執行過濾器。包括RequestDispatcher#forward()方法、<jsp:forward>標籤都是轉發訪問;
- INCLUDE:包含訪問執行過濾器。包括RequestDispatcher#include()方法、<jsp:include>標籤都是包含訪問;
- ERROR:當目標資源在web.xml中配置爲<error-page>中時,並且真的出現了異常,轉發到目標資源時,會執行過濾器。
可以在<filter-mapping>中添加0~n個子元素,來說明當前訪問的攔截方式。
當沒有給出攔截方式時,那麼默認爲REQUEST。
<filter-mapping>
<filter-name>myfilter</filter-name>
<url-pattern>/b.jsp</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
<filter-mapping>
<filter-name>myfilter</filter-name>
<url-pattern>/b.jsp</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>myfilter</filter-name>
<url-pattern>/b.jsp</url-pattern>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
過濾器的應用場景
- 執行目標資源之前做預處理工作,例如設置編碼,這種試通常都會放行,只是在目標資源執行之前做一些準備工作;幾乎Sevlet中都需要寫request.setCharacterEndoing() 可以把它入到一個Filter中。
- 通過條件判斷是否放行,例如校驗當前用戶是否已經登錄,或者用戶IP是否已經被禁用;
- 在目標資源執行後,做一些後續的特殊處理工作,例如把目標資源輸出的數據進行處理;回程攔截。
設置目標資源
在web.xml文件中部署Filter時,可以通過“*”來執行目標資源:
<filter-mapping>
<filter-name>myfilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
這一特性與Servlet完全相同!通過這一特性,我們可以在用戶訪問敏感資源時,執行過濾器,例如:<url-pattern>/admin/*<url-pattern>,可以把所有管理員才能訪問的資源放到/admin路徑下,這時可以通過過濾器來校驗用戶身份。
還可以爲指定目標資源爲某個Servlet,例如:
<servlet>
<servlet-name>myservlet</servlet-name>
<servlet-class>cn.itcast.servlet.MyServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>myservlet</servlet-name>
<url-pattern>/abc</url-pattern>
</servlet-mapping>
<filter>
<filter-name>myfilter</filter-name>
<filter-class>cn.itcast.filter.MyFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>myfilter</filter-name>
<servlet-name>myservlet</servlet-name>
</filter-mapping>
當用戶訪問http://localhost:8080/filtertest/abc時,會執行名字爲myservlet的Servlet,這時會執行過濾器。
Filter小結
Filter的三個方法:
- void init(FilterConfig):在Tomcat啓動時被調用;
- void destroy():在Tomcat關閉時被調用;
- void doFilter(ServletRequest,ServletResponse,FilterChain):每次有請求時都調用該方法;
FilterConfig類:與ServletConfig相似,用來獲取Filter的初始化參數
- ServletContext getServletContext():獲取ServletContext的方法;
- String getFilterName():獲取Filter的配置名稱;
- String getInitParameter(String name):獲取Filter的初始化配置,與<init-param>元素對應;
- Enumeration getInitParameterNames():獲取所有初始化參數的名稱。
FilterChain類:
- void doFilter(ServletRequest,ServletResponse):放行!表示執行下一個過濾器,或者執行目標資源。可以在調用FilterChain的doFilter()方法的前後添加語句,在FilterChain的doFilter()方法之前的語句會在目標資源執行之前執行,在FilterChain的doFilter()方法之後的語句會在目標資源執行之後執行。
四各攔截方式:REQUEST、FORWARD、INCLUDE、ERROR,默認是REQUEST方式。
- REQUEST:攔截直接請求方式;
- FORWARD:攔截請求轉發方式;
- INCLUDE:攔截請求包含方式;
- ERROR:攔截錯誤轉發方式。
四. 過濾器的應用案例
1.禁用資源緩存
瀏覽器只是要緩存頁面,這對我們在開發時測試很不方便,所以我們可以過濾所有資源,然後添加去除所有緩存!
public class NoCacheFilter extends HttpFilter {
public void doFilter(HttpServletRequest request,
HttpServletResponse response, FilterChain chain)
throws IOException, ServletException {
response.setHeader("cache-control", "no-cache");
response.setHeader("pragma", "no-cache");
response.setHeader("expires", "0");
chain.doFilter(request, response);
}
}
但是要注意,有的瀏覽器可能不會理會你的設置,還是會緩存的!這時就要在頁面中使用時間戳來處理了。
2.解決全站字符亂碼(POST和GET中文編碼問題)
servlet:
- POST:request.setCharacterEncoding(“utf-8”);
- GET: String username = request.getParameter(“username”); username =
new String(username.getBytes(“ISO-8859-1”), “utf-8”);
亂碼問題:
- 獲取請求參數中的亂碼問題;
POST請求:request.setCharacterEncoding(“utf-8”);
GET請求:new String(request.getParameter(“xxx”).getBytes(“iso-8859-1”), “utf-8”); - 響應的亂碼問題:response.setContextType(“text/html;charset=utf-8”)。
基本上在每個Servlet中都要處理亂碼問題,所以應該把這個工作放到過濾器中來完成。
其實全站亂碼問題的難點就是處理GET請求參數的問題。
如果只是處理POST請求的編碼問題,以及響應編碼問題,那麼這個過濾器就太!太!太簡單的。
public class EncodingFilter extends HttpFilter {
public void doFilter(HttpServletRequest request,
HttpServletResponse response, FilterChain chain)
throws IOException, ServletException {
// 獲取配置文件中的初始化參數:charset
String charset = this.getInitParameter("charset");
// 如果沒有給Filter配置charset參數,那麼設置編碼爲UTF-8
if(charset == null || charset.isEmpty()) {
charset = "UTF-8";
}
// 處理POST請求編碼
request.setCharacterEncoding(charset);
// 處理響應編碼
response.setContentType("text/html;charset=" + charset);
chain.doFilter(request, response);
}
}
如果是POST請求,當執行目標Servlet時,Servlet中調用request.getParameter()方法時,就會根據request.setCharacterEncoding()設置的編碼來轉碼!這說明在過濾器中調用request.setCharacterEncoding()方法會影響在目標Servlet中的request.getParameter()方法的行爲!
但是如果是GET請求,我們又如何能影響request.getParameter()方法的行爲呢?這是不好做到的!我們不可能先調用request.getParameter()方法獲取參數,然後手動轉碼後,再施加在到request中!因爲request只有getParameter(),而沒有setParameter()方法。
處理GET請求參數編碼問題,需要在Filter中放行時,把request對象給“調包”了,也就是讓目標Servlet使用我們“調包”之後的request對象。這說明我們需要保證“調包”之後的request對象中所有方法都要與“調包”之前一樣可以使用,並且getParameter()方法還要有能力返回轉碼之後的參數。
這可能讓你想起了“繼承”,但是這裏不能用繼承,而是“裝飾者模式(Decorator Pattern)”!
下面是三種對a對象進行增強的手段:
- 繼承:AA類繼承a對象的類型:A類,然後重寫fun1()方法,其中重寫的fun1()方法就是被增強的方法。但是,繼承必須要知道a對象的真實類型,然後才能去繼承。如果我們不知道a對象的確切類型,而只知道a對象是IA接口的實現類對象,那麼就無法使用繼承來增強a對象了;
- 裝飾者模式:AA類去實現a對象相同的接口:IA接口,還需要給AA類傳遞a對象,然後在AA類中所有的方法實現都是通過代理a對象的相同方法完成的,只有fun1()方法在代理a對象相同方法的前後添加了一些內容,這就是對fun1()方法進行了增強;
- 動態代理:動態代理與裝飾者模式比較相似,而且是通過反射來完成的。
對request對象進行增強的條件,剛好符合裝飾者模式的特點!因爲我們不知道request對象的具體類型,但我們知道request是HttpServletRequest接口的實現類。這說明我們寫一個類EncodingRequest,去實現HttpServletRequest接口,然後再把原來的request傳遞給EncodingRequest類!在EncodingRequest中對HttpServletRequest接口中的所有方法的實現都是通過代理原來的request對象來完成的,只有對getParameter()方法添加了增強代碼!
JavaEE已經給我們提供了一個HttpServletRequestWrapper類,它就是HttpServletRequest的包裝類,但它不做任何的增強!你可能會說,寫一個裝飾類,但不做增強,其目的是什麼呢?使用這個裝飾類的對象,和使用原有的request有什麼分別呢?
HttpServletRequestWrapper類雖然是HttpServletRequest的裝飾類,但它不是用來直接使用的,而是用來讓我們去繼承的!當我們想寫一個裝飾類時,還要對所有不需要增強的方法做一次實現是很心煩的事情,但如果你去繼承HttpServletRequestWrapper類,那麼就只需要重寫需要增強的方法即可了。
public class EncodingRequest extends HttpServletRequestWrapper {
private String charset;
// 創建本類對象時,需要提供底層request,以及字符集
public EncodingRequest(HttpServletRequest request, String charset) {
super(request);
this.charset = charset;
}
// 重寫getParameter()方法
public String getParameter(String name) {
// 把底層對象轉換成HttpServletRequest
HttpServletRequest request = (HttpServletRequest) getRequest();
String method = request.getMethod();
if(method.equalsIgnoreCase("post")) {
try {
request.setCharacterEncoding(charset);
} catch (UnsupportedEncodingException e) {}
} else if(method.equalsIgnoreCase("get")) {
String value = request.getParameter(name);
try {
value = new String(name.getBytes("ISO-8859-1"), charset);
} catch (UnsupportedEncodingException e) {
}
return value;
}
return request.getParameter(name);
}
}
public class EncodingFilter extends HttpFilter {
public void doFilter(HttpServletRequest request,
HttpServletResponse response, FilterChain chain)
throws IOException, ServletException {
String charset = this.getInitParameter("charset");
if(charset == null || charset.isEmpty()) {
charset = "UTF-8";
}
response.setCharacterEncoding(charset);
response.setContentType("text/html;charset=" + charset);
// 創建EncodingRequest對象,使用request爲底層對象
EncodingRequest res = new EncodingRequest(request, charset);
// 放行!這時用戶獲取到的request就是EncodingRequest對象了!
chain.doFilter(res, response);
}
}
<filter>
<filter-name>EncodingFilter</filter-name>
<filter-class>cn.itcast.filter.EncodingFilter</filter-class>
<init-param>
<param-name>charset</param-name>
<param-value>UTF-8</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>EncodingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>