Filter介绍 -- http://ajava.org/readbook/open/qljjeessh/15072.html

2.12 Filter介绍
Filter可认为是Servlet的一种“变种”，它主要用于对用户请求进行预处理，也可以对HttpServletResponse进行后处理，是个典型的处理链。它与Servlet的区别在于：它不能直接向用户生成响应。完整的流程是：Filter对用户请求进行预处理，接着将请求交给Servlet进行处理并生成响应，最后Filter再对服务器响应进行后处理。

Filter有如下几个用处。

Ø  在HttpServletRequest到达Servlet之前，拦截客户的HttpServletRequest。

Ø  根据需要检查HttpServletRequest，也可以修改HttpServletRequest头和数据。

Ø  在HttpServletResponse到达客户端之前，拦截HttpServletResponse。

Ø  根据需要检查HttpServletResponse，也可以修改HttpServletResponse头和数据。

Filter有如下几个种类。

Ø  用户授权的Filter：Filter负责检查用户请求，根据请求过滤用户非法请求。

Ø  日志Filter：详细记录某些特殊的用户请求。

Ø  负责解码的Filter：包括对非标准编码的请求解码。

Ø  能改变XML内容的XSLT Filter等。

Ø  Filter可负责拦截多个请求或响应；一个请求或响应也可被多个请求拦截。

创建一个Filter只需两个步骤：

建Filter处理类；

web.xml文件中配置Filter。

††2.12.1 创建Filter类

创建Filter必须实现javax.servlet.Filter接口，在该接口中定义了3个方法。

Ø  void init(FilterConfig config)：用于完成Filter的初始化。

Ø  void destroy()：用于Filter销毁前，完成某些资源的回收。

Ø  void doFilter(ServletRequest request, ServletResponse response,FilterChain chain)：实现过滤功能，该方法就是对每个请求及响应增加的额外处理。

下面介绍一个日志Filter，这个Filter负责拦截所有的用户请求，并将请求的信息记录在日志中。

程序清单：codes\02\2.12\ filterTest\WEB-INF\src\lee\LogFilter.java

public class LogFilter implements Filter

{

//FilterConfig可用于访问Filter的配置信息

private FilterConfig config;

//实现初始化方法

public void init(FilterConfig config)

{

this.config = config;

}

//实现销毁方法

public void destroy()

{

this.config = null;

}

//执行过滤的核心方法

public void doFilter(ServletRequest request,

ServletResponse response, FilterChain chain)

throws IOException,ServletException

{

//---------下面代码用于对用户请求执行预处理---------

//获取ServletContext对象，用于记录日志

ServletContext context = this.config.getServletContext();

long before = System.currentTimeMillis();

System.out.println("开始过滤...");

//将请求转换成HttpServletRequest请求

HttpServletRequest hrequest = (HttpServletRequest)request;

//记录日志

context.log("Filter已经截获到用户的请求地址： " +

hrequest.getServletPath());

//Filter只是链式处理，请求依然放行到目的地址

chain.doFilter(request, response);

//---------下面代码用于对服务器响应执行后处理---------

long after = System.currentTimeMillis();

//记录日志

context.log("过滤结束");

//再次记录日志

context.log("请求被定位到" + hrequest.getRequestURI() +

"所花的时间为: " + (after - before));

}

}

上面程序粗体字代码实现了doFilter()方法，实现该方法就可实现对用户请求进行预处理，也可实现对服务器响应进行后处理——它们的分界线为是否调用了chain.doFilter()，执行该方法之前，即对用户请求进行预处理；执行该方法之后，即对服务器响应进行后处理。

在上面的请求Filter中，仅在日志中记录请求的URL，对所有的请求都执行chain.doFilter (request,reponse)方法，当Filter对请求过滤后，依然将请求发送到目的地址。如果需要检查权限，可以在Filter中根据用户请求的HttpSession，判断用户权限是否足够。如果权限不够，直接调用重定向即可，无须调用chain.doFilter(request,reponse)方法。

††2.12.2 配置Filter

Filter的配置和Servlet的配置非常相似，都需要配置两个部分：

Ø  配置Filter名。

Ø  配置Filter拦截URL模式。

区别在于，Servlet通常只配置一个URL，而Filter可以同时拦截多个请求的URL。因此，在配置Filter的URL模式时通常指定使用模式字符串，使得Filter可以拦截多个请求。

在web.xml文件中为该Filter增加如下配置片段：

<!-- 定义Filter -->

<filter>

<!-- Filter的名字 -->

<filter-name>log</filter-name>

<!-- Filter的实现类 -->

<filter-class>lee.LogFilter</filter-class>

</filter>

<!-- 定义Filter拦截的URL地址 -->

<filter-mapping>

<!-- Filter的名字 -->

<filter-name>log</filter-name>

<!-- Filter负责拦截的URL -->

<url-pattern>/*</url-pattern>

</filter-mapping>

上面粗体字代码用于配置该Filter，从这些代码中可以看出配置Filter与配置Servlet非常相似，只是配置Filter时指定url-pattern为/*，即表示该Filter会拦截所有用户请求。该Filter并未对客户端请求进行额外的处理，仅仅在日志中简要记录请求的信息。

为该Web应用提供任意一个JSP页面，并通过浏览器来访问该JSP页面，即可在Tomcat的控制台看到如图2.38所示的信息。



图2.38  Filter过滤客户端请求

实际上Filter和Servlet极其相似，区别只是Filter不能直接对用户生成响应。实际上Filter里doFilter()方法里的代码就是从多个Servlet的service()方法里抽取的通用代码，通过使用Filter可以实现更好的复用。

由于Filter和Servlet如此相似，所以Filter和Servlet具有完全相同的生命周期行为，且Filter也可以配置初始化参数，配置Filter初始化参数也使用init-param元素，获取Filter的初始化参数则使用FilterConfig的getInitParameter()方法。

下面将定义一个较为实用的Filter，该Filter对用户请求进行过滤，Filter将通过doFilter方法来设置request编码的字符集，从而避免每个JSP、Servlet都需要设置；而且还会验证用户是否登录，如果用户没有登录，系统直接跳转到登录页面。

下面是该Filter的源代码。

程序清单：codes\02\2.12\ filterTest\WEB-INF\src\lee\AuthorityFilter.java

public class AuthorityFilter implements Filter

{

//FilterConfig可用于访问Filter的配置信息

private FilterConfig config;

//实现初始化方法

public void init(FilterConfig config)

{

this.config = config;

}

//实现销毁方法

public void destroy()

{

this.config = null;

}

//执行过滤的核心方法

public void doFilter(ServletRequest request,

ServletResponse response, FilterChain chain)

throws IOException,ServletException

{

//获取该Filter的配置参数

String encoding = config.getInitParameter("encoding");

String loginPage = config.getInitParameter("loginPage");

String proLogin = config.getInitParameter("proLogin");

//设置request编码用的字符集

request.setCharacterEncoding(encoding);                    //①

HttpServletRequest requ = (HttpServletRequest)request;

HttpSession session = requ.getSession(true);

//获取客户请求的页面

String requestPath = requ.getServletPath();

//如果session范围的user为null，即表明没有登录

//且用户请求的既不是登录页面，也不是处理登录的页面

if( session.getAttribute("user") == null

&& !requestPath.endsWith(loginPage)

&& !requestPath.endsWith(proLogin))

{

//forward到登录页面

request.setAttribute("tip" , "您还没有登录");

request.getRequestDispatcher(loginPage)

.forward(request, response);

}

//“放行”请求

else

{

chain.doFilter(request, response);

}

}

}

上面Filter的doFilter方法里3行斜体字代码用于获取Filter的配置参数，而程序中粗体字代码则是此Filter的核心，①号代码按配置参数设置了request编码所用的字符集，接下来的粗体字代码判断session范围内是否有user属性——没有该属性即认为没有登录，如果既没有登录，而且请求地址也不是登录页和处理登录页，系统直接跳转到登录页面。

在web.xml文件中配置该Filter，使用init-param元素为该Filter配置参数，init-param可接受如下两个子元素：

Ø  param-name：指定参数名。

Ø  param-value：指定参数值。

该Filter的配置片段如下：

<!-- 定义Filter -->

<filter>

<!-- Filter的名字 -->

<filter-name>authority</filter-name>

<!-- Filter的实现类 -->

<filter-class>lee.AuthorityFilter</filter-class>

<!-- 下面3个init-param元素配置了3个参数 -->

<init-param>

<param-name>encoding</param-name>

<param-value>GBK</param-value>

</init-param>

<init-param>

<param-name>loginPage</param-name>

<param-value>/login.jsp</param-value>

</init-param>

<init-param>

<param-name>proLogin</param-name>

<param-value>/proLogin.jsp</param-value>

</init-param>

</filter>

<!-- 定义Filter拦截的URL地址 -->

<filter-mapping>

<!-- Filter的名字 -->

<filter-name>authority</filter-name>

<!-- Filter负责拦截的URL -->

<url-pattern>/*</url-pattern>

</filter-mapping>

上面配置片段中粗体字代码为该Filter指定了3个配置参数，指定loginPage为/login.jsp，proLogin为/proLogin.jsp，这表明：如果没有登录该应用，普通用户只能访问/login.jsp和/proLogin.jsp页面。只有当用户登录该应用后才可自由访问其他页面。