【Java Web】Filter vs Interceptor

我们说的 Filter 和 Interceptor 是啥？

• Filter：javax.servlet.Filter
• Interceptor：org.springframework.web.servlet.HandlerInterceptor

参考：

• 《Filter vs Interceptor》
• 《Difference between Interceptor and Filter in Spring MVC》

 

简介

Filter

public interface Filter {
    public void init(FilterConfig filterConfig) throws ServletException;

    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain)
            throws IOException, ServletException;

    public void destroy();
}

根据代码附属的文档：

Filter 用于过滤对资源的请求和响应。一个Filter可以同时用于过滤请求和响应。
目标资源可以是 Servlet 或 静态资源。

 

Filter 的 doFilter 方法执行具体的过滤操作。
Filter 可以通过 FilterConfig 对象获取初始化参数。还可通过 FilterConfig 提供的 ServletContext 引用获取更多资源信息用于过滤操作。

 

可通过 web descriptor 文件 web.xml 配置Filter，也可以用 @WebFilter 注解配置。
（标准的默认 web descriptor 文件是 WEB-INF/web.xml）

 

典型使用场景：

1. 身份验证
2. 日志、审计
3. 图像转换
4. 数据压缩
5. 加解密
6. 访问令牌处理
7. 触发资源访问事件2
8. XSL 转换（XSL/T）
9. Mime 类型链式过滤

 

HandlerInterceptor

public interface HandlerInterceptor {
	boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                          Object handler)
			throws Exception;

	void postHandle(HttpServletRequest request, HttpServletResponse response,
                        Object handler, ModelAndView modelAndView)
			throws Exception;

	void afterCompletion(HttpServletRequest request, HttpServletResponse response,
                             Object handler, Exception ex)
			throws Exception;
}

根据代码附属文档：

HandlerInterceptor 用于自定义执行链。
HandlerInterceptor 会在相应的 HandlerAdaptor 被调用前执行，所以可用于“预处理”。
例：授权检查、区域设置、主题更改 等。
它的主要目的就是提取出可复用的 Handler 代码。

 

作为Spring中的概念，HandlerInterceptor 可以像一般的Bean那样配置在 Application Context 中。

 

HandlerInterceptor 与 Servlet Filter 很相似。
但是 Interceptor 只允许通过预处理禁止 Handler 本身运行，或执行一些后续处理（post-processing）。
Filter 更强大。如，允许交换传递给后续处理链的 request 和 response 对象。

 

基本准则：

• 细粒度的 Handler相关 预处理操作 可以用 HandlerInterceptor 实现。
  尤其是 授权检查 和 公用的 Handler 代码。
• Filter 适合用于处理 request 和 view 内容。如，Multipart 表单、Gzip压缩。
  典型的作法就是处理特定的 Content-Type。

 

对比

最本质的区别是，Filter 是 Servlet 中的概念，HandlerInterceptor 是 Spring Web 中的概念。
它们是两个不同体系中的概念。因为它们都能实现对 HTTP Request 和 Response 的一些自定义处理，所以会被一些无聊的人强行拿来作比较，甚至成为考题。
其实在一些常见业务常见中，两种技术实现方式并不存在孰优孰劣。只有结合具体业务场景，才能真正比较出哪种方式更合适。

 

Filter 相关流程

HandlerInterceptor 相关流程

 

现在的编程模式都是 遇到 新型 业务需求时先搜索一下别人是如何实现的。
我认为这是最普遍、性价比最高、几乎每个人都默认使用、对个人自身成长提升最快的模式。
注意我的用词“新型”。没有人天生就会；自己埋头苦研，不借助巨人力量的，都是傻子；而且肯定不会得到值得推广的成功。编程就是“抄”！
只要清楚它们在 HTTP Request Response 流程中的角色，看到别人给的常规实现方式，就自然会明白 为什么选其中一种而不选另一种。

 

示例：HandlerInterceptor 用于授权检查

每个项目可能有自己独特的授权检查需求。此示例仅供参考。
很多项目会用Session来存放用户信息（Session可能存储在Redis等中间件中，以实现分布式架构）

RequestContext：存储用户信息的帮助类

此处使用 ThreadLocal 存储的用户信息，不用担心OOM。因为：

• 我们会在后续的HandlerInterceptor中清理用户信息
• 即使清理时遇到异常，线程中的用户信息也不会无限增长。
  线程接到下一次用户请求时相关信息又会被设置为新请求的数据

public abstract class RequestContext {
  private static final ThreadLocal userIdHolder = new ThreadLocal();
  // 可根据需要添加各种用户信息字段

  public static String getUserId() { return userIdHolder.get(); }
  public static void setUserId(String id) { userIdHolder.set(id); }

  public static void clear() {
    userIdHolder.remove();
  }
}

AuthInterceptor：执行授权检查

public class AuthInterceptor implements HandlerInterceptor {
  @Override
  public boolean preHandle(
      HttpServletRequest request, HttpServletResponse response, Object handler) {
    // 从 response 获取用户相关标识，并进行授权检查 ...
    // 通过授权检查，并获得 User ID。如果未通过，可设置response相关内容，并返回 false
    String userId = ...
    
    // 保存用户信息，供后续 Controller 业务使用
    RequestContext.setUserId(userId);
  }

  @Override
  public void afterCompletion(
      HttpServletRequest request, HttpServletResponse response,
      Object handler, @Nullable Exception ex) throws Exception {
    // 清除之前保存的用户信息。
    // 为什么在 afterCompletion() 方法中清理，而不是在 postHandle() 中？
    // 因为如果业务代码中抛出异常，将跳过 postHandle() 方法，但不会跳过 afterCompletion().
    // 详见 DispatcherServlet.doDispatch() 方法
    RequestContext.clear();
  }
}

应用 AuthInterceptor

@Configuration
public class MyWebAppConfigurer implements WebMvcConfigurer {
  @Override
  public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(new AuthInterceptor())
      .addPathPatterns("/**");
  }
}

使用Request用户信息

@RestController
public class TestController {
  @GetMapping("test")
  public void test() {
    String userId = RequestContext.getUserId();
    ...
  }
}