filter过滤器详解

一、Filter工作原理（执行流程）       

       当客户端发出Web资源的请求时，Web服务器根据应用程序配置文件设置的过滤规则进行检查，若客户请求满足过滤规则，则对客户请求／响应进行拦截，对请求头和请求数据进行检查或改动，并依次通过过滤器链，最后把请求／响应交给请求的Web资源处理。请求信息在过滤器链中可以被修改，也可以根据条件让请求不发往资源处理器，并直接向客户机发回一个响应。当资源处理器完成了对资源的处理后，响应信息将逐级逆向返回。同样在这个过程中，用户可以修改响应信息，从而完成一定的任务。
         上面说了，当一个请求符合某个过滤器的过滤条件时该请求就会交给这个过滤器去处理。那么当两个过滤器同时过滤一个请求时谁先谁后呢？这就涉及到了过滤链FilterChain。
         所有的奥秘都在Filter的FilterChain中。服务器会按照web.xml中过滤器定义的先后循序组装成一条链，然后依次执行其中的doFilter()方法。执行第一个过滤器的 chain.doFilter()之前的代码，第二个过滤器的chain.doFilter()之前的代码，请求的资源，第二个过滤器的 chain.doFilter()之后的代码，第一个过滤器的chain.doFilter()之后的代码，最后返回响应。
        这里还有一点想补充：大家有没有想过，上面说的“执行请求的资源”究竟是怎么执行的？对于“执行第一个过滤器的chain.doFilter()之前的代码，第二个过滤器的chain.doFilter()之前的代码”这些我可以理解，无非就是按顺序执行一句句的代码，但对于这个“执行请求的资源”我刚开始却是怎么也想不明白。其实是这样的：
        通常我们所访问的资源是一个servlet或jsp页面，而jsp其实是一个被封装了的servlet，于是我们就可以统一地认为我们每次访问的都是一个Servlet,而每当我们访问一个servlet时，web容器都会调用该Servlet的service方法去处理请求。而在service方法又会根据请求方式的不同（Get/Post）去调用相应的doGet() 或doPost()方法，实际处理请求的就是这个doGet或doPost方法。写过servlet的朋友都应该知道，我们在doGet（或 doPost）方法中是通过response.getWriter（）得到客户端的输出流对象，然后用此对象对客户进行响应。

       到这里我们就应该理解了过滤器的执行流程了：执行第一个过滤器的chain.doFilter()之前的代码——>第二个过滤器的 chain.doFilter()之前的代码——>……——>第n个过滤器的chain.doFilter()之前的代码——>所请求 servlet的service()方法中的代码——>所请求servlet的doGet()或doPost()方法中的代码——>第n个过滤器的chain.doFilter()之后的代码——>……——>第二个过滤器的chain.doFilter()之后的代码——> 第一个过滤器的chain.doFilter()之后的代码。

 

二、过滤器生命周期的四个阶段：

1、实例化：Web容器在部署Web应用程序时对所有过滤器进行实例化。Web容器回调它的无参构造方法。
2、初始化：实例化完成之后，马上进行初始化工作。Web容器回调init()方法。
3、过滤：请求路径匹配过滤器的URL映射时。Web容器回调doFilter()方法——主要的工作方法。
4、销毁： Web容器在卸载Web应用程序前，Web容器回调destroy()方法。

 

过滤器Filter也具有生命周期：init()->doFilter()->destroy()，由部署文件中的filter元素驱动。在servlet2.4中，过滤器同样可以用于请求分派器，但须在web.xml中声明，<dispatcher>INCLUDE或FORWARD或REQUEST或ERROR</dispatcher>该元素位于filter-mapping中。

 

过滤链
图见附件
   两个过滤器，EncodingFilter负责设置编码，SecurityFilter负责控制权限，服务器会按照web.xml中过滤器定义的先后循序组装成一条链，然后一次执行其中的doFilter()方法。执行的顺序就如上图所示，执行第一个过滤器的chain.doFilter()之前的代码，第二个过滤器的chain.doFilter()之前的代码，请求的资源，第二个过滤器的chain.doFilter()之后的代码，第一个过滤器的chain.doFilter()之后的代码，最后返回响应。
执行的代码顺序是：

1.   执行EncodingFilter.doFilter()中chain.doFilter()之前的部分：request.setCharacterEncoding("gb2312");

2.   执行SecurityFilter.doFilter()中chain.doFilter()之前的部分：判断用户是否已登录。

3.   如果用户已登录，则访问请求的资源：/admin/index.jsp。

4.   如果用户未登录，则页面重定向到：/failure.jsp。

5.   执行SecurityFilter.doFilter()中chain.doFilter()之后的部分：这里没有代码。

6.   执行EncodingFilter.doFilter()中chain.doFilter()之后的部分：这里也没有代码。

过滤链的好处是，执行过程中任何时候都可以打断，只要不执行chain.doFilter()就不会再执行后面的过滤器和请求的内容。而在实际使用时，就要特别注意过滤链的执行顺序问题，像EncodingFilter就一定要放在所有Filter之前，这样才能确保在使用请求中的数据前设置正确的编码。

 

 

三、Servlet过滤器开发步骤：

1、创建实现javax.servlet.Filter接口的类。
2、过滤器的xml配置。
Servlet过滤器API
 Servlet过滤器API包含了3个接口，它们都在javax.servlet包中，分别是Filter接口、FilterChain接口和FilterConfig接口。
public Interface Filter
所有的过滤器都必须实现Filter接口。该接口定义了init,doFilter0，destory()三个方法：
  (1) public void init (FilterConfig filterConfig) 
当开始使用servlet过滤器服务时，Web容器调用此方法一次，为服务准备过滤器；然后在需要使用过滤器的时候调用doFilter()，传送给此方法的FilterConfig对象，包含servlet过滤器的初始化参数。
  (2)public void doFilter(ServletRequest request，ServletResponse response，FilterChain chain)    
         每个过滤器都接受当前的请求和响应，且FilterChain过滤器链中的过滤器（应该都是符合条件的）都会被执行。doFilter方 法中，过滤器可以对请求和响应做它想做的一切，通过调用他们的方法收集数据，或者给对象添加新的行为。过滤器通过传送至 此方法的FilterChain参数，调用chain．doFilterO将控制权传送给下一个过滤器。当这个调用返回后，过滤器可以在它的 Filter方法的最后对响应做些其他的工作。如果过滤器想要终止请求的处理或得到对响应的完全控制，则可以不调用下一个过滤 器，而将其重定向至其它一些页面。当链中的最后一个过滤器调用chain．doFilterO方法时，将运行最初请求的Servlet。
 (3)public void destroy()
       一旦doFilterO方法里的所有线程退出或已超时，容器调用
此方法。服务器调用destoryO以指出过滤器已结束服务，用于释
放过滤器占用的资源。
public interface FilterChain
public void doFilter(ServletRequest request，ServletResponse response)
      此方法是由Servlet容器提供给开发者的，用于对资源请求过滤链的依次调用，通过FilterChain调用过滤链中的下一个过滤   器，如果是最后一个过滤器，则下一个就调用目标资源。
public interface FilterConfig
 FilterConfig接口检索过滤器名、初始化参数以及活动的Servlet上下文。该接口提供了以下4个方法：
     (1)public java．1ang．String getFilterName0
           返回web．xml部署文件中定义的该过滤器的名称。
     (2)public ServletContext getServletContextO
          返回调用者所处的servlet上下文。
     (3)public java.1ang.String getlnitParameter(java.1ang.String name)
返回过滤器初始化参数值的字符串形式，当参数不存在时，返回nul1．name是初始化参数名。
     (4)public java.util.Enumeration getlnitParameterNames()
      以Enumeration形式返回过滤器所有初始化参数值，如果没有初始化参数，返回为空。

 

 

四、四种过滤器的工作方式：

1、request过滤器
这种过滤器的工作方式比较简单，大家也经常遇到，如下图所示：
以下是web.xml文件配置方式：
<filter>
<filter-name>myFilter</filter-name>
<filter-class>xx.MyFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>myFilter</filter-name>
<servlet-name>目标资源一</servlet-name>
</filter-mapping>
下面我们更改一下web.xml文件的配置，如下方式：
<filter>
<filter-name>myFilter</filter-name>
<filter-class>xx.MyFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>myFilter</filter-name>
<servlet-name>目标资源一</servlet-name>
</filter-mapping>
<filter-mapping>
<filter-name>myFilter</filter-name>
<servlet-name>目标资源二</servlet-name>
</filter-mapping>
也就是说此过滤器对目标资源一和目标资源二都进行过滤，然后当目标资源一被访问的时候我们将请求转发给目标资源二，那么这个时候过滤器是怎么工作的呢？如下图所示：
我们可以看到，当我们访问目标资源一时过滤器截取了请求，然后再转发给目标资源一，然后再转发给目标资源二，从图中我们可以看到过滤器没有截取转发到目标资源二的请求，但是我们已经在web.xml文件中配置了该过滤器对目标资源二的过滤，为什么又没有起到过滤作用呢？
答案就在于，目标资源一是客户端直接访问，而目标资源二是被转发过来的，这时过滤器就不能过滤目标资源二。如果你直接访问目标资源二，你会发现该过滤器起到了作用？
我们上面的web.xml文件配置与以下方式等价：
<filter>myFilter</filter>
<filter-name>myFilter</filter-name>
<filter-class>xx.MyFilter</filte-class>
</filter>
<filter-mapping>
<filter-name>myFilter</filter-name>
<servlet-name>目标资源一</servlet-name>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter-mapping>
<filter-name>myFilter</filter-name>
<servlet-name>目标资源二</servlet-name>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
这种方式的配置，说明只有直接访问该目标资源时该过滤器才会起作用，对转发到该目标资源的请求将忽略不处理。
那如果我想对转发到目标资源二的请求进行过滤，那怎么办呢？答案见，下一种过滤器，forward过滤器。
2、forward过滤器
我们将web.xml文件的配置修改如下：
<filter>myFilter</filter>
<filter-name>myFilter</filter-name>
<filter-class>xx.MyFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>myFilter</filter-name>
<servlet-name>目标资源一</servlet-name>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter-mapping>
<filter-name>myFilter</filter-name>
<servlet-name>目标资源二</servlet-name>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
工作方式如下图所示：
我们看对目标资源二过滤的配置方式，这时过滤方式为forward，也就是说对转发到目标资源二的请求过滤，如果直接访问目标资源二，过滤器将不起作用。
3、include过滤器
理解了forward过滤器之后，include过滤器就不难理解了。以下方式：
<filter-mapping>
<filter-name>myFilter</filter-name>
<servlet-name>目标资源二</servlet-name>
<dispatcher>INCLUDE</dispatcher>
</filter-mapping>
此表示对包含了目标资源二的请求过滤，如果直接访问目标资源二，则此过滤器将不起作用。
include包含以下语句：
在JSP页面中的动作：<jsp:include page=.......
在Java代码中的request.getRequestDispatcher("....").include
注意：如果目标资源一通过<%@ include file="目标资源二"%>指令包含，这时此过滤器不工作。
4、error过滤器
当我们访问一个web目标资源时，如果服务器没有找到该目标资源，那么服务器就会给出一个404错误代码。如果我们给404错误代码定义一个页面，那么当404错误发生时就会调用该页面，请看以下web.xml文件的配置：
<filter-mapping>
<filter-name>myFilter</filter-name>
<url-pattern>/error.jsp</url-pattern>
<dispatcher>ERROR</dispatcher>
</filter-mapping>
<error-page>
<error-code>404</error-code>
<location>/error.jsp</location>
</error-page>
当我们访问一个不存在的文件时，就会访问error.jsp，但是配置了过滤器对错误页面进行过滤，所以过滤器先接受到请求，然后再转发给error.jsp。
如果我们访问一个已经存在的页面，会不会调用error.jsp呢？如果这个页面中有response.sendError(404,"出错了！");那么该错误页面仍然会被调用，过滤器也会工作。

 

 

五、filter应用

1. 编写一个用于统一WEB字符编码的Filter： 
复制代码 代码如下:

package cn.itcast.cc.filter; 
import java.io.IOException; 
import javax.servlet.Filter; 
import javax.servlet.FilterChain; 
import javax.servlet.FilterConfig; 
import javax.servlet.ServletException; 
import javax.servlet.ServletRequest; 
import javax.servlet.ServletResponse; 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletResponse; 
public class Encoding implements Filter { 
public void destroy() { 
// TODO Auto-generated method stub 
} 
public void doFilter(ServletRequest arg0, ServletResponse arg1, 
FilterChain arg2) throws IOException, ServletException { 
//参数转换，因为我们已经它肯定是Http协议的请求。 
HttpServletRequest request = (HttpServletRequest)arg0; 
HttpServletResponse response = (HttpServletResponse)arg1; 
//设置request和response使用的编码均为UTF-8。 
request.setCharacterEncoding("UTF-8"); 
response.setCharacterEncoding("UTF-8"); 
response.setContentType("text/html;charset=UTF-8"); 
//设置完成后，交回给服务器。 
arg2.doFilter(arg0, arg1); 
} 
public void init(FilterConfig arg0) throws ServletException { 
// TODO Auto-generated method stub 
} 
} 

2. 配置web.xml文件，添加下面部分： 
复制代码 代码如下:


<filter> 
<filter-name>encoding</filter-name> 
<filter-class>cn.itcast.cc.filter.Encoding</filter-class> 
</filter> 
<filter-mapping> 
<filter-name>encoding</filter-name> 
<url-pattern>/*</url-pattern> 
</filter-mapping> 


3. 上面是Filter的简单使用方式，下面讲高级应用。 
Filter高级开发： 
//参数转换，因为我们已经它肯定是Http协议的请求。 
HttpServletRequest request = (HttpServletRequest)arg0; 
HttpServletResponse response = (HttpServletResponse)arg1; 
上面的两片段代码，是因为我们已经知道了request和response是服务器给我们封装好了的两个Http请求对象。我们对它进行了功能上的扩充。如果我们不知道request和response是谁创建的具体内容是什么，我们应该如何对它们的功能进行扩充？我们有两种方式可以扩充： 
1. 编写一个子类，覆盖需要覆盖的方法。 
2. 使用Decorator设计模式，来扩充我们想要的功能。 
Decorator设计模式： 
我们有时无法使用方法1,因为我们不知道一个对象的具休类，比如它是一个接口对象，实现类是谁？。所以我们最好使用方法2，之前我们有接触过工厂设计模式和单例设计模式，Java真是高级应用的完美体现。什么是Decorator设计模式？中文名称是“装饰”模式，下面我们使用此模式为request做一下功能上的扩充： 
1.我们实现继承request接口类型ServletRequest。哦天哪，ServletRequest有太多的方法，难道我们要实现每一个方法？Servlet设计者们想到了这一点，并给我们提供了一个包装类——HttpServletRequestWrapper。我们就使用它做为父类吧！ 
2.在我们自定义类内部添加一个HttpServletRequest类型成员，因为我们就要装饰它。 
3.编写我样想覆盖的方法，也就是我们想提供特殊功能的方法。 
举例，上边我们编写的统一WEB编码的filter是存在问题的，如果我们提交一个表单，表单的提交方式为GET，那么我们设置request的编码是不起作用的。所以在这里我们就使用Decorator设计模式来完善统一编码的功能： 
编写自定义类MyServletRequest.java类： 
复制代码 代码如下:

class MyServletRequest extends HttpServletRequestWrapper { 
// 我们要装饰的对象 
HttpServletRequest myrequest; 
public MyServletRequest(HttpServletRequest request) { 
super(request); 
this.myrequest = request; 
} 
// 我们要增强的功能方法 
@Override 
public String getParameter(String name) { 
// 使用被装饰的成员，获取数据 
String value = this.myrequest.getParameter(name); 
if (value == null) 
return null; 
// 将数据转码后返回 
try { 
value = new String(value.getBytes("ISO8859-1"), "UTF-8"); 
} catch (UnsupportedEncodingException e) { 
e.printStackTrace(); 
} 
return value; 
} 
} 

我们修改Encoding.java过滤器的代码如下： 
复制代码 代码如下:

public class Encoding implements Filter { 
public void destroy() { 
// TODO Auto-generated method stub 
} 
public void doFilter(ServletRequest arg0, ServletResponse arg1, 
FilterChain arg2) throws IOException, ServletException { 
arg2.doFilter(new MyServletRequest((HttpServletRequest)request), arg1); 
} 
public void init(FilterConfig arg0) throws ServletException { 
// TODO Auto-generated method stub 
} 
} 

参考：

 

 

4.常用的应用场合

1）转换字符编码 
中文网页编码常用的就是gb2312或是UTF-8，但TOMCAT会默认用编码iso-8859-1，所以需要把所有经过TOMCAT的中文字符进行转换，如果手动在request里改很麻烦，可以用一个filter对所有的request进行拦截，进行编码转换，一劳永逸 
2）管理Hibernate的session 
在Web 里用Hibernate常常是把session绑定到线程，但往往要求一个session在一个请求的活动中都有效，这样可以保证同一活动中能共享 lazy bean。用filter能到达这个目的，在doFilter之前绑定session到线程，在doFilter后关闭session，这样既可以保证 session不会泄漏，也能让lazy bean在同一请求周期里共享 
3）做权限审查 
在web层里需要对很多资源进行逻辑类似的安全保障，通过filter可以在调用这些资源前加上一个屏障，这样既可以把安全代码和逻辑代码相分离，也可以很好的reuse这些安全模块 
4）做cache 
在web层常常需要对一些请求返回进行缓存，这样可以有效的减轻服务器的压力，filter可以对请求进行拦截，查询缓存，若有效则直接返回缓存内容，若无效则进行实际的服务器请求，返回给用户，并对缓存进行更新，以备下次请求 
5）做拦截器的代理 
有的时候需要把一些拦截器用到web层，filter可以很好地充当代理的角色，比如可以在Spring里做好拦截器的Bean，再通过filter把这些Bean和相应的web请求桥接起来。 
6）过滤特殊字符 
有时需要过滤特殊字符，比如防止sql注入，Filter可以很好达到这个目的