一、Filter
1.1 概述
Filter 的基本功能是对 Servlet 容器调用 Servlet 的过程进行拦截,从而在 Servlet 进行响应处理的前后实现一些特殊的功能。在 Servlet API 中定义了三个接口类来开供开发人员编写 Filter 程序:Filter, FilterChain, FilterConfig。Filter 程序是一个实现了 Filter 接口的 Java 类,与 Servlet 程序相似,它由 Servlet 容器进行调用和执行Filter 程序需要在 web.xml 文件中进行注册和设置它所能拦截的资源:Filter 程序可以拦截 Jsp, Servlet, 静态图片文件和静态 html 文件。
过滤过程
原理
当在 web.xml 中注册了一个 Filter 来对某个 Servlet 程序进行拦截处理时,这个 Filter 就成了 Servlet 容器与该 Servlet 程序的通信线路上的一道关卡,该 Filter 可以对 Servlet 容器发送给 Servlet 程序的请求和 Servlet 程序回送给 Servlet 容器的相应进行拦截,可以决定是否将请求继续传递给 Servlet 程序,以及对请求和相应信息是否进行修改。在一个 web 应用程序中可以注册多个 Filter 程序,每个 Filter 程序都可以对一个或一组 Servlet 程序进行拦截。若有多个 Filter 程序对某个 Servlet 程序的访问过程进行拦截,当针对该 Servlet 的访问请求到达时,web 容器将把这多个 Filter 程序组合成一个 Filter 链(过滤器链)。Filter 链中各个 Filter 的拦截顺序与它们在应用程序的 web.xml 中映射的顺序一致。
1.2 Filter接口
init(FilterConfig filterConfig)throws ServletException
在 web 应用程序启动时,web 服务器将根据 web.xml 文件中的配置信息来创建每个注册的 Filter 实例对象,并将其保存在服务器的内存中。Web容器创建 Filter 对象实例后,将立即调用该 Filter 对象的 init 方法。Init 方法在 Filter 生命周期中仅执行一次,web 容器在调用 init 方法时,会传递一个包含 Filter 的配置和运行环境的 FilterConfig 对象(FilterConfig的用法和ServletConfig类似)。利用FilterConfig对象可以得到ServletContext对象,以及部署描述符中配置的过滤器的初始化参数。在这个方法中,可以抛出ServletException异常,通知容器该过滤器不能正常工作。
destroy()
在Web容器卸载 Filter 对象之前被调用。该方法在Filter的生命周期中仅执行一次。在这个方法中,可以释放过滤器使用的资源。
与开发Servlet不同的是,Filter接口并没有相应的实现类可供继承,要开发过滤器,只能直接实现Filter接口。
doFilter(ServletRequest request,ServletResponse response, FilterChain chain)throws java.io.IOException,ServletException
doFilter()方法类似于Servlet接口的service()方法。当客户端请求目标资源的时候,容器就会调用与这个目标资源相关联的过滤器的doFilter()方法。其中参数 request, response 为 web 容器或 Filter 链的上一个 Filter 传递过来的请求和相应对象;参数 chain 为代表当前 Filter 链的对象,在特定的操作完成后,可以在当前 Filter 对象的 doFilter 方法内部需要调用 FilterChain 对象的 。chain.doFilter(request,response)方法才能把请求交付给 Filter 链中的下一个 Filter 或者目标 Servlet 程序去处理,也可以直接向客户端返回响应信息,或者利用RequestDispatcher的forward()和include()方法,以及HttpServletResponse的sendRedirect()方法将请求转向到其他资源。这个方法的请求和响应参数的类型是ServletRequest和ServletResponse,也就是说,过滤器的使用并不依赖于具体的协议。
HelloFilter
package com.aidata.web; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; public class HelloFilter implements Filter { @Override public void destroy() { System.out.println("destroy"); } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { System.out.println("doFilter");
// 放行
chain.doFilter(request, response);
} @Override public void init(FilterConfig arg0) throws ServletException { System.out.println("init"); } }
SecondFilter
package com.aidata.web; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; public class SecondFilter implements Filter { @Override public void destroy() { System.out.println("destroy"); } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { System.out.println("doFilter"); // 放行 chain.doFilter(request, response); } @Override public void init(FilterConfig filterConfig) throws ServletException { System.out.println("init"); } }
> public void init(FilterConfig filterConfig): 类似于 Servlet 的 init 方法. 在创建 Filter 对象(Filter 对象在 Servlet 容器加载当前 WEB 应用时即被创建)后,立即被调用, 且只被调用一次。该方法用于对当前的 Filter 进行初始化操作,Filter 实例是单例的。
- FilterConfig 类似于 ServletConfig
- 可以在 web.xml 文件中配置当前 Filter 的初始化参数. 配置方式也和 Servlet 类似
<filter> <filter-name>helloFilter</filter-name> <filter-class>com.atguigu.javaweb.HelloFilter</filter-class> <init-param> <param-name>name</param-name> <param-value>root</param-value> </init-param> </filter>
> public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain): 真正 Filter 的逻辑代码需要编写在该方法中. 每次拦截都会调用该方法.
FilterChain: Filter 链. 多个 Filter 可以构成一个 Filter 链.
- doFilter(ServletRequest request, ServletResponse response):把请求传给 Filter 链的下一个 Filter,若当前 Filter 是 Filter 链的最后一个 Filter, 将把请求给到目标 Serlvet(或 JSP)
- 多个 Filter 拦截的顺序和 <filter-mapping> 配置的顺序有关, 靠前的先被调用.
<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5"> <!-- 注册 --> <filter> <filter-name>helloFilter</filter-name> <filter-class>com.aidata.web.HelloFilter</filter-class> </filter> <!-- 映射 --> <filter-mapping> <filter-name>helloFilter</filter-name> <url-pattern>/test.jsp</url-pattern> </filter-mapping> <!-- 注册 --> <filter> <filter-name>secondFilter</filter-name> <filter-class>com.aidata.web.SecondFilter</filter-class> </filter> <!-- 映射 --> <filter-mapping> <filter-name>secondFilter</filter-name> <url-pattern>/test.jsp</url-pattern> </filter-mapping> </web-app>
> public void destroy(): 释放当前 Filter 所占用的资源的方法. 在 Filter 被销毁之前被调用, 且只被调用一次.
1.3 FilterChain接口
代表当前 Filter 链的对象。由容器实现,容器将其实例作为参数传入过滤器对象的doFilter()方法中。过滤器对象使用FilterChain对象调用过滤器链中的下一个过滤器,如果该过滤器是链中最后一个过滤器,那么将调用目标资源。
doFilter(ServletRequest request,ServletResponse response)throws java.io.IOException
调用该方法将使过滤器链中的下一个过滤器被调用。如果是最后一个过滤器,会调用目标资源。
1.4 FilterConfig接口
该接口类似于ServletConfig接口,由容器实现。Servlet规范将代表 ServletContext 对象和 Filter 的配置参数信息都封装在该对象中。Servlet 容器将其作为参数传入过滤器对象的init()方法中。
String getFilterName():得到描述符中指定的过滤器的名字。
String getInitParameter(String name): 返回在部署描述中指定的名字为name的初始化参数的值。如果不存在返回null.
Enumeration getInitParameterNames():返回过滤器的所有初始化参数的名字的枚举集合。
public ServletContext getServletContext():返回Servlet上下文对象的引用。
1.5 部属
在实现一个过滤器后,需要在 web.xml 中进行注册和设置它所能拦截的资源。这可以通过<filter>和<filter-mapping>元素来完成的。
注册
<filter>元素用于在Web应用程序中注册一个过滤器。
在<filter>元素内
- <filter-name>用于为过滤器指定一个名字,该元素的内容不能为空。
- <filter-class>元素用于指定过滤器的完整的限定类名。
- <init-param>元素用于为过滤器指定初始化参数,它的子元素<param-name>指定参数的名字,<param-value>指定参数的值。在过滤器中,可以使用FilterConfig接口对象来访问初始化参数。
Servlet容器对部署描述符中声明的每一个过滤器,只创建一个实例。与Servlet类似,容器将在同一个过滤器实例上运行多个线程来同时为多个请求服务,因此,开发过滤器时,也要注意线程安全的问题。
<filter> <filter-name>testFitler</filter-name> <filter-class>org.test.TestFiter</filter-class> <init-param> <param-name>word_file</param-name> <param-value>/WEB-INF/word.txt</param-value> </init-param> </filter>
映射
<filter-mapping>元素用于设置一个 Filter 所负责拦截的资源。一个Filter拦截的资源可通过两种方式来指定:Servlet 名称和资源访问的请求路径( url样式)
- <filter-name>子元素用于设置filter的注册名称。该值必须是在<filter>元素中声明过的过滤器的名字
- <url-pattern>设置 filter 所拦截的请求路径(过滤器关联的URL样式)
- <servlet-name>指定过滤器所拦截的Servlet名称。
- <dispatcher>指定过滤器所拦截的资源被 Servlet 容器调用的方式,可以是REQUEST,INCLUDE,FORWARD和ERROR之一,默认REQUEST. 可以设置多个<dispatcher> 子元素用来指定 Filter 对资源的多种调用方式进行拦截
<dispatcher> 子元素可以设置的值及其意义:
- REQUEST:当用户直接访问页面时,Web容器将会调用过滤器。如果目标资源是通过RequestDispatcher的include()或forward()方法访问时,那么该过滤器就不会被调用。
- INCLUDE:如果目标资源是通过RequestDispatcher的include()方法访问时,那么该过滤器将被调用。除此之外,该过滤器不会被调用。
- FORWARD:如果目标资源是通过RequestDispatcher的forward()方法访问时,那么该过滤器将被调用,除此之外,该过滤器不会被调用。
- ERROR:如果目标资源是通过声明式异常处理机制调用时,那么该过滤器将被调用。除此之外,过滤器不会被调用。
<filter-mapping> <filter-name>testFilter</filter-name> <url-pattern>/test.jsp</url-pattern> </filter-mapping> <filter-mapping> <filter-name>testFilter</filter-name> <url-pattern>/index.jsp</url-pattern> <dispatcher>REQUEST</dispatcher> <dispatcher>FORWARD</dispatcher> </filter-mapping>
在同一个 web.xml 文件中可以为同一个 Filter 设置多个映射。若一个 Filter 链中多次出现了同一个 Filter 程序,这个 Filter 程序的拦截处理过程将被多次执行。
1.6 练习
login.jsp 请求提交到 hello.jsp。该页面中有两个 text,分别为 username 和 password
UserNameFilter、PasswordFilter 拦截 login.jsp 的请求页面,即 hello.jsp
UserNameFilter:若 username 不等于 Tom,则将请求转发到 login.jsp,并提示用户: “用户名错误”,若等于 Tom,则把请求转给下一个 Filter
PasswordFilter:若 passord 不等于 1234,则将请求转发到 login.jsp,并提示用户: “密码错误”,若等于 1234,则把请求转给目标页面
Username(Tom)需配置为 UserNameFilter 的初始化参数,password(1234)需要配置为当前 WEB 应用的初始化参数
login.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Insert title here</title> </head> <body> <font color="red">${message }</font> <br><br> <form action="hello.jsp" method="post"> username:<input type="text" name="username" value="${param.username }"> password:<input type="password" name="password"> <input type="submit" value="Submit" /> </form> </body> </html>
hello.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Insert title here</title> </head> <body> Hello:${param.username } </body> </html>
web.xml
<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5"> <context-param> <param-name>password</param-name> <param-value>1234</param-value> </context-param> <display-name>userNameFilter</display-name> <filter-name>userNameFilter</filter-name> <filter-class>com.aidata.web.UserNameFilter</filter-class> <init-param> <param-name>username</param-name> <param-value>Tom</param-value> </init-param> </filter> <!-- 映射 --> <filter-mapping> <filter-name>userNameFilter</filter-name> <url-pattern>/hello.jsp</url-pattern> </filter-mapping> <filter> <display-name>passwordFilter</display-name> <filter-name>passwordFilter</filter-name> <filter-class>com.aidata.web.PasswordFilter</filter-class> </filter> <!-- 映射 --> <filter-mapping> <filter-name>passwordFilter</filter-name> <url-pattern>/hello.jsp</url-pattern> </filter-mapping> </web-app>
UserNameFilter
package com.aidata.web; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; public class UserNameFilter implements Filter { public UserNameFilter() { } public void destroy() { } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { String initUser = filterConfig.getInitParameter("username"); String username = request.getParameter("username"); if (!initUser.equals(username)) { request.setAttribute("message", "用户名不正确"); request.getRequestDispatcher("/login.jsp").forward(request, response); } chain.doFilter(request, response); } private FilterConfig filterConfig; public void init(FilterConfig fConfig) throws ServletException { this.filterConfig = fConfig; } }
PasswordFilter
package com.aidata.web; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; public class PasswordFilter implements Filter { @Override public void destroy() { } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { String initPassword = filterConfig.getServletContext().getInitParameter("password"); String password = request.getParameter("password"); if (!initPassword.equals(password)) { request.setAttribute("message", "密码不正确"); request.getRequestDispatcher("/login.jsp").forward(request, response); } } private FilterConfig filterConfig; @Override public void init(FilterConfig filterConfig) throws ServletException { this.filterConfig = filterConfig; } }
创建HttpFilter
package com.aidata.web; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; /** * * @ClassName HttpFilter * @Description 自定义的HttpFilter,实现Filter接口 * @author J Z * @Date * @version 1.0.0 */ public abstract class HttpFilter implements Filter { private FilterConfig filterConfig; @Override public void init(FilterConfig filterConfig) throws ServletException { this.filterConfig = filterConfig; init(); } /** * * @Description 供子类继承的初始化方法,可以通过getFileConfig()获取 * FilterConfig对象 */ protected void init() {} public FilterConfig getFilterConfig(){ return filterConfig; } @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest)req; HttpServletResponse response = (HttpServletResponse)resp; doFilter(request, resp, chain); } public abstract void doFilter(HttpServletRequest req, HttpServletResponse resp, FilterChain chain) throws IOException, ServletException ; @Override public void destroy() {} }
1.7 典型应用:禁用浏览器缓存的过滤器
有 3 个 HTTP 响应头字段都可以禁止浏览器缓存当前页面,它们在 Servlet 中的示例代码如下:
response.setDateHeader("Expires",-1);
response.setHeader("Cache-Control","no-cache"); response.setHeader("Pragma","no-cache");
并不是所有的浏览器都能完全支持上面的三个响应头,因此最好是同时使用上面的三个响应头
package com.atguigu.javaweb.cache; import java.io.IOException; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import com.atguigu.javaweb.HttpFilter; public class NoCacheFilter extends HttpFilter { @Override public void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException { System.out.println("cacheFilter's doFilter.."); response.setDateHeader("Expires",-1); response.setHeader("Cache-Control","no-cache"); response.setHeader("Pragma","no-cache"); filterChain.doFilter(request, response); } }
1.8 典型应用:字符编码的过滤器
通过配置参数encoding指明使用何种字符编码,以处理Html Form请求参数的中文问题
web.xml
<context-param>
<param-name>encoding</param-name>
<param-value>UTF-8</param-value>
</context-param>
<filter>
<filter-name>encodingFilter</filter-name>
<filter-class>com.atguigu.javaweb.encoding.EncodingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>encodingFilter</filter-name>
<url-pattern>/encoding/*</url-pattern>
</filter-mapping>
要读取web.xml中的配置
package com.atguigu.javaweb.encoding; import java.io.IOException; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import com.atguigu.javaweb.HttpFilter; public class EncodingFilter extends HttpFilter{ private String encoding; @Override protected void init() { encoding = getFilterConfig().getServletContext().getInitParameter("encoding"); } @Override public void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException { System.out.println(encoding); request.setCharacterEncoding(encoding); filterChain.doFilter(request, response); } }
检测用户是否登陆的过滤器
情景:系统中的某些页面只有在正常登陆后才可以使用,用户请求这些页面时要检查 session 中有无该用户信息,但在所有必要的页面加上session的判断相当麻烦的事情
解决方案:编写一个用于检测用户是否登陆的过滤器,如果用户未登录,则重定向到指的登录页面
要求:需检查的在 Session 中保存的关键字; 如果用户未登录,需重定向到指定的页面(URL不包括 ContextPath); 不做检查的URL列表(以分号分开,并且 URL 中不包括 ContextPath)都要采取可配置的方式
1.9 典型应用:权限
利用Filter限制用户浏览权限
使用 Filter 完成一个简单的权限模型:
1). 需求:
①. 管理权限
> 查看某人的权限
> 修改某人的权限
②. 对访问进行权限控制: 有权限则可以访问, 否则提示: 没有对应的权限, 请 返回
2). 实现:
①. 管理权限:
> 封装权限信息: Authority
Authority{ //显示到页面上的权限的名字 private String displayName; //权限对应的 URL 地址: 一个权限对应着一个 URL, 例如 Article_1 -> /app_4/article1.jsp private String url; }
> 封装用户信息: User
User{ private String username; private List<Autority> authorities; //... }
> 创建一个 UserDao:
User get(String username); void update(String username, List<Autority>);
> 页面
authority-manager.jsp: * 有一个 text 文本框, 供输入 username, 提交后, 使用 checkbox 显示当前用户所有的权限的信息. <form action="/day_40/AuthorityServlet?method=get" method="post"> Name: <input name="name" type="text"/> <input type="submit" value="Submit"/> </form> * 检查 request 中是否有 user 信息, 若有, 则显示 xxx 的权限为: 对应的权限的 checkbox 打上对号. 提示, 页面上需要通过两层循环的方式来筛选出被选择的权限. <form action="/day_40/AuthorityServlet?method=get" method="post"> Name: <input name="name" type="text"/> <input type="submit" value="Submit"/> </form> <br><br> AAA 的权限是: <br><br> <form action="/day_40/AuthorityServlet?method=update" method="post"> <!-- 使用隐藏域来保存用户的 name --> <input name="name" type="hidden" value="AAA"/> <input type="checkbox" name="authority" value="/app_4/article1.jsp" checked="checked"/>Article_1 <br><br> <input type="checkbox" name="authority" value="/app_4/article2.jsp" checked="checked"/>Article_2 <br><br> <input type="checkbox" name="authority" value="/app_4/article3.jsp" checked="checked"/>Article_3 <br><br> <input type="checkbox" name="authority" value="/app_4/article4.jsp" />Article_4 <br><br> <input type="submit" value="Submit"/> </form>
> Servlet
authority-manager.jsp 提交表单后 get 方法:获取表单的请求参数: username, 再根据 username 获取 User 信息. 把 user 放入到request 中,转发到 authority-manager.jsp。
authority-manager.jsp 修改权限的表单提交后 update 方法:获取请求参数: username, authory(多选);把选项封装为 List;调用UserDao 的 update() 方法实现权限的修改;重定向到 authority-manager.jsp。
②. 对访问进行权限控制:
> 使用 Filter 进行权限的过滤: 检验用户是否有权限, 若有, 则直接响应目标页面; 若没有重定向到 403.jsp
403.jsp
<h4> 没有对应的权限, 请 <a href="">返回</a> </h4>
package com.atguigu.javaweb; import java.util.List; public class User { private String username; private List<Authority> authorities; public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } public List<Authority> getAuthorities() { return authorities; } public void setAuthorities(List<Authority> authorities) { this.authorities = authorities; } public User(String username, List<Authority> authorities) { super(); this.username = username; this.authorities = authorities; } public User() { // TODO Auto-generated constructor stub } }
package com.atguigu.javaweb; public class Authority { //显示到页面上的权限的名字 private String displayName; //权限对应的 URL 地址: 已权限对应着一个 URL, 例如 Article-1 -> /article-1.jsp private String url; public String getDisplayName() { return displayName; } public void setDisplayName(String displayName) { this.displayName = displayName; } public String getUrl() { return url; } public void setUrl(String url) { this.url = url; } public Authority(String displayName, String url) { super(); this.displayName = displayName; this.url = url; } public Authority() { // TODO Auto-generated constructor stub } @Override public int hashCode() { final int prime = 31; int result = 1; result = prime * result + ((url == null) ? 0 : url.hashCode()); return result; } @Override public boolean equals(Object obj) { if (this == obj) return true; if (obj == null) return false; if (getClass() != obj.getClass()) return false; Authority other = (Authority) obj; if (url == null) { if (other.url != null) return false; } else if (!url.equals(other.url)) return false; return true; } }
package com.atguigu.javaweb; import java.util.ArrayList; import java.util.HashMap; import java.util.List; import java.util.Map; public class UserDao { private static Map<String, User> users; private static List<Authority> authorities = null; static{ authorities = new ArrayList<>(); authorities.add(new Authority("Article-1", "/article-1.jsp")); authorities.add(new Authority("Article-2", "/article-2.jsp")); authorities.add(new Authority("Article-3", "/article-3.jsp")); authorities.add(new Authority("Article-4", "/article-4.jsp")); users = new HashMap<String, User>(); User user1 = new User("AAA", authorities.subList(0, 2)); users.put("AAA", user1); user1 = new User("BBB", authorities.subList(2, 4)); users.put("BBB", user1); } User get(String username){ return users.get(username); } void update(String username, List<Authority> authorities){ users.get(username).setAuthorities(authorities); } public List<Authority> getAuthorities() { return authorities; } public List<Authority> getAuthorities(String[] urls) { List<Authority> authorities2 = new ArrayList<>(); for(Authority authority: authorities){ if(urls != null){ for(String url: urls){ if(url.equals(authority.getUrl())){ authorities2.add(authority); } } } } return authorities2; } }
authority-manager.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>Insert title here</title> </head> <body> <center> <br><br> <form action="AuthorityServlet?method=getAuthorities" method="post"> name: <input type="text" name="username"/> <input type="submit" value="Submit"/> </form> <c:if test="${requestScope.user != null }"> <br><br> ${requestScope.user.username } 的权限是: <br><br> <form action="AuthorityServlet?method=updateAuthority" method="post"> <input type="hidden" name="username" value="${requestScope.user.username }"/> <c:forEach items="${authorities }" var="auth"> <c:set var="flag" value="false"></c:set> <c:forEach items="${user.authorities }" var="ua"> <c:if test="${ua.url == auth.url }"> <c:set var="flag" value="true"></c:set> </c:if> </c:forEach> <c:if test="${flag == true }"> <input type="checkbox" name="authority" value="${auth.url }" checked="checked"/>${auth.displayName } </c:if> <c:if test="${flag == false }"> <input type="checkbox" name="authority" value="${auth.url }" />${auth.displayName } </c:if> <br><br> </c:forEach> <input type="submit" value="Update"/> </form> </c:if> </center> </body> </html>
使用 Filter 如何进行过滤:
- 获取 servletPath, 类似于 /app_3/article1.jsp
- 在用户已经登录(可使用 用户是否登录 的过滤器)的情况下, 获取用户信息. session.getAttribute("user")
- 再获取用户所具有的权限的信息: List<Authority>
- 检验用户是否有请求 servletPath 的权限: 可以思考除了遍历以外, 有没有更好的实现方式
- 若有权限则: 响应
- 若没有权限: 重定向到 403.jsp
others:
- 用户若登录, 需要把用户信息(User 对象)放入到 HttpSession 中.
- 在检验权限之前, 需要判断用户是否已经登录.
login.jsp
<?xml version="1.0" encoding="UTF-8" ?> <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <title>Insert title here</title> </head> <body> <form action="LoginServlet?method=login" method="post"> name: <input type="text" name="name" /> <input type="submit" value="Submit" /> </form> </body> </html>
logout.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>Insert title here</title> </head> <body> Bye! <br><br> <a href="login.jsp">Login</a> <% session.invalidate(); %> </body> </html>
Servlet
package com.atguigu.javaweb; import java.io.IOException; import java.lang.reflect.Method; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; /** * Servlet implementation class LoginServlet */ public class LoginServlet extends HttpServlet { private static final long serialVersionUID = 1L; protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { doPost(request, response); } protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String methodName = request.getParameter("method"); try { Method method = getClass().getMethod(methodName, HttpServletRequest.class, HttpServletResponse.class); method.invoke(this, request, response); } catch (Exception e) { e.printStackTrace(); } } private UserDao userDao = new UserDao(); public void login(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //1. 获取 name String name = request.getParameter("name"); //2. 调用 UserDao 获取用户信息, 把用户信息放入到 HttpSession 中 User user = userDao.get(name); request.getSession().setAttribute("user", user); //3. 重定向到 articles.jsp response.sendRedirect(request.getContextPath() + "/articles.jsp"); } public void logout(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //1. 获取 HttpSession //2. 使 HttpSession 失效 request.getSession().invalidate(); //3. 重定向到 /loign.jsp response.sendRedirect(request.getContextPath() + "/login.jsp"); } }
package com.atguigu.javaweb; import java.io.IOException; import java.util.Arrays; import java.util.List; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class AuthorityFilter extends HttpFilter { @Override public void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException { // - 获取 servletPath, 类似于 /app_3/article1.jsp String servletPath = request.getServletPath(); //不需要被拦截的 url 列表. List<String> uncheckedUrls = Arrays.asList("/403.jsp", "/articles.jsp", "/authority-manager.jsp", "/login.jsp", "/logout.jsp"); if(uncheckedUrls.contains(servletPath)){ filterChain.doFilter(request, response); return; } // - 在用户已经登录(可使用 用户是否登录 的过滤器)的情况下, 获取用户信息. session.getAttribute("user") User user = (User)request.getSession().getAttribute("user"); if(user == null){ response.sendRedirect(request.getContextPath() + "/login.jsp"); return; } // - 再获取用户所具有的权限的信息: List<Authority> List<Authority> authorities = user.getAuthorities(); // - 检验用户是否有请求 servletPath 的权限: 可以思考除了遍历以外, 有没有更好的实现方式 Authority authority = new Authority(null, servletPath); // - 若有权限则: 响应 if (authorities.contains(authority)) { filterChain.doFilter(request, response); return; } // - 若没有权限: 重定向到 403.jsp response.sendRedirect(request.getContextPath() + "/403.jsp"); return; } }
HttpServletWrapper 和 HttpServletResponseWrapper
1). Servlet API 中提供了一个 HttpServletRequestWrapper 类来包装原始的 request 对象,
HttpServletRequestWrapper 类实现了 HttpServletRequest 接口中的所有方法,
这些方法的内部实现都是仅仅调用了一下所包装的的 request 对象的对应方法
//包装类实现 ServletRequest 接口. public class ServletRequestWrapper implements ServletRequest { //被包装的那个 ServletRequest 对象 private ServletRequest request; //构造器传入 ServletRequest 实现类对象 public ServletRequestWrapper(ServletRequest request) { if (request == null) { throw new IllegalArgumentException("Request cannot be null"); } this.request = request; } //具体实现 ServletRequest 的方法: 调用被包装的那个成员变量的方法实现。 public Object getAttribute(String name) { return this.request.getAttribute(name); } public Enumeration getAttributeNames() { return this.request.getAttributeNames(); } //... }
相类似 Servlet API 也提供了一个 HttpServletResponseWrapper 类来包装原始的 response 对象
2). 作用: 用于对 HttpServletRequest 或 HttpServletResponse 的某一个方法进行修改或增强.
package com.atguigu.javaweb; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class MyHttpServletRequest extends HttpServletRequestWrapper{ public MyHttpServletRequest(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { String val = super.getParameter(name); if(val != null && val.contains(" fuck ")){ val = val.replace("fuck", "****"); } return val; } }
3). 使用: 在 Filter 中, 利用 MyHttpServletRequest 替换传入的 HttpServletRequest
此时到达目标 Servlet 或 JSP 的 HttpServletRequest 实际上是 MyHttpServletRequest
package com.atguigu.javaweb; import java.io.IOException; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import javax.servlet.http.HttpServletResponse; public class ContentFilter extends HttpFilter{ public void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException { //1. 获取请求 content 参数的值 String content = request.getParameter("content"); System.out.println(request); HttpServletRequest req = new MyHttpServletRequest(request); //2. 把其中 fuck, shit 等字符串替换换为 **** if(content.contains(" fuck ")){ //SerletRequest, HttpServletRequest 中并没有提供诸如 setParameter(paramName, paramValue) //类似于这样的方法. //目标: 改变 HttpServletRequest 的 getParameter(String) 方法的行为: 若该方法的返回值中 //包含 " fuck ", 则替换为 " **** " //1. 若对于一个类的方法不满意, 需要进行重写, 最常见的方式是, 继承父类, 重写方法. //若实现则需要继承 org.apache.catalina.connector.RequestFacade, 而这仅是 Tomcat //服务器的实现, 若更换服务器, 该方案将无法使用. ×. //2. 直接写一个 HttpServletRequest 接口的实现类: 无法实现 其中方法. × //3. 装饰目前的 HttpServletRequest 对象: 装饰其 getParameter 方法, 而其他方法还和其实现相同. //创建一个类, 该类实现 HttpServletRequest 接口, 把当前 doFilter 中的 request 传入到该类中, 作为 //其成员变量, 使用该成员变量去实现接口的全部方法. } //3. 转到目标页面 filterChain.doFilter(req, response); } }
二、Listener
2.1 概述
监听器是专门用于对其他对象身上发生的事件或状态改变进行监听和相应处理的对象,当被监视的对象发生情况时,立即采取相应的行动。
Servlet 监听器是Servlet 规范中定义的一种特殊类,它用于监听 web 应用程序中的 ServletContext, HttpSession 和 ServletRequest 等域对象的创建与销毁事件,以及监听这些域对象中的属性发生修改的事件。
按监听的事件类型 Servlet 监听器可分为如下三种类型:
- 监听域对象自身的创建和销毁的事件监听器
- 监听域对象中的属性的增加和删除的事件监听器
- 监听绑定到 HttpSession 域中的某个对象的状态的事件监听器
编写Servlet监听器
Servlet 规范为每种事件监听器都定义了相应的接口,开发人员编写的事件监听器程序只需实现这些接口,web 服务器根据用户编写的事件监听器所实现的接口把它注册到相应的被监听对象上。一些 Servlet 事件监听器需要在 web 应用程序的 web.xml 文件中进行注册,一个 web.xml 文件中可以注册多个 Servlet 事件监听器,web 服务器按照它们在 web.xml 文件中的注册顺序来加载和注册这些 Serlvet 事件监听器。
Serlvet 事件监听器的注册和调用过程都是由 web 容器自动完成的,当发生被监听的对象被创建,修改或销毁事件时,web容器将调用与之相关的 Servlet 事件监听器对象的相关方法,开发人员在在这些方法中编写的事件处理代码即被执行。由于一个 web 应用程序只会为每个事件监听器创建一个对象,有可能出现多个线程同时调用同一个事件监听器对象的情况,所以,在编写事件监听器类时,应考虑多线程安全的问题。
2.2 监听域对象的创建与销毁
域对象创建和销毁的事件监听器就是用来监听 ServletContext,HttpSession,HttpServletRequest 这三个对象的创建和销毁事件的监听器。
域对象的创建和销毁时机
ServletContextListener接口
ServletContextListener 接口用于监听 ServletContext 对象的创建和销毁事件。
当 ServletContext 对象被创建时,激发contextInitialized (ServletContextEvent sce)方法。
当 ServletContext 对象被销毁时,激发contextDestroyed(ServletContextEvent sce)方法。
1)what::监听 ServletContext 对象被创建或销毁的 Servlet 监听器
2)how:
> 创建一个实现了 ServletContextListener 的类, 并且实现其中的两个方法
package com.aidata.web; import javax.servlet.ServletContextEvent; import javax.servlet.ServletContextListener; public class HelloServletContextListner implements ServletContextListener { @Override public void contextDestroyed(ServletContextEvent arg0) { System.out.println("ServletContext 对象被销毁"); } @Override public void contextInitialized(ServletContextEvent arg0) { System.out.println("ServletContext 对象被创建"); } }
> 在 web.xml 文件中配置 Listener
<listener> <listener-class>com.atguigu.javaweb.test.HelloServletContextListner</listener-class> </listener>
3)why:ServletContextListener 是最常用的 Listener, 可以在当前 WEB 应用被加载时对当前 WEB 应用的相关资源进行初始化操作:
创建数据库连接池, 创建 Spring 的 IOC 容器, 读取当前 WEB 应用的初始化参数 ......
4)API:
// SerlvetContext 对象被创建(即, 当前 WEB 应用被加载时)的时候, Servlet 容器调用该方法. public void contextInitialized(ServletContextEvent sce) // SerlvetContext 对象被销毁之前(即, 当前 WEB 应用被卸载时)的时候, Servlet 容器调用该方法. public void contextDestroyed(ServletContextEvent sce) ServletContextEvent 中的: getServletContext() 获取 ServletContext
HttpSessionListener 接口
HttpSessionListener 接口用于监听HttpSession对象的创建和销毁。
创建一个Session时,激发sessionCreated(HttpSessionEvent se) 方法。
销毁一个Session时,激发sessionDestroyed (HttpSessionEvent se) 方法。
ServletRequestListener 接口
ServletRequestListener 接口用于监听ServletRequest 对象的创建和销毁
创建一个ServletRequest 对象时,激发requestInitialized(ServletRequestEvent sre)方法
销毁一个Session时,激发requestDestroyed(ServletRequestEvent sre)方法
ServletRequestListener & HttpSessionListener
1) 和 ServletContextListener 类似。
2) 利用 ServletRequestListener、HttpSessionListener 以及 ServletContextListener 可以把 request,session及 application 的生命周期进一步的做一了解。
> request:是一个请求,当一个响应返回时,即被销毁。当发送一个请求时被创建. 注意, 请求转发的过程是一个 request 对象。
重定向是两个请求
> session创建:当第一次访问 WEB 应用的一个 JSP 或 Servlet 时, 且该 JSP 或 Servlet 中还需要创建 session 对象(有时page指令设session="false",禁止了隐含变量session),此时服务器会创建一个 session 对象
session 销毁:session 过期;直接调用 session 的 invalidate 方法;当前 web 应用被卸载(session 可以被持久化)
关闭浏览器, 并不意味着 session 被销毁, 还可以通过 sessionid 找到服务器中的 session 对象
JSESSIONID=F4119DE0FC93ED38E8EC83B24CFA3B81
打开一个页面进入上面的session,而非新建session: http://localhost:8989/day_40/session.jsp;jsessionid=F4119DE0FC93ED38E8EC83B24CFA3B81
> application:贯穿于当前的 WEB 应用的生命周期. 当前 WEB 应用被加载时创建 application 对象, 当前 WEB 应用被卸载时
销毁 application 对象.
2.3 域对象中属性的变更的事件监听器
域对象中属性的变更的事件监听器就是用来监听 ServletContext, HttpSession, HttpServletRequest 这三个对象中的属性变更信息事件的监听器。
这三个监听器接口分别是ServletContextAttributeListener,HttpSessionAttributeListener 和ServletRequestAttributeListener,这三个接口中都定义了三个方法来处理被监听对象中的属性的增加,删除和替换的事件,同一个事件在这三个接口中对应的方法名称完全相同,只是接受的参数类型不同。
package com.atguigu.javaweb.test; import javax.servlet.ServletContextAttributeEvent; import javax.servlet.ServletContextAttributeListener; import javax.servlet.ServletRequestAttributeEvent; import javax.servlet.ServletRequestAttributeListener; import javax.servlet.http.HttpSessionAttributeListener; import javax.servlet.http.HttpSessionBindingEvent; public class TestAttributeListener implements ServletContextAttributeListener, ServletRequestAttributeListener, HttpSessionAttributeListener{ @Override public void attributeAdded(ServletRequestAttributeEvent srae) { System.out.println("向 request 中添加了一个属性: " + srae.getName() + ": " + srae.getValue()); } @Override public void attributeRemoved(ServletRequestAttributeEvent srae) { System.out.println("从 request 中移除了一个属性: " + srae.getName() + ": " + srae.getValue()); } @Override public void attributeReplaced(ServletRequestAttributeEvent srae) { System.out.println("request 中属性替换了: " + srae.getName() + ": " + srae.getValue()); } @Override public void attributeAdded(ServletContextAttributeEvent scab) { // TODO Auto-generated method stub } @Override public void attributeRemoved(ServletContextAttributeEvent scab) { // TODO Auto-generated method stub } @Override public void attributeReplaced(ServletContextAttributeEvent scab) { // TODO Auto-generated method stub } @Override public void attributeAdded(HttpSessionBindingEvent se) { // TODO Auto-generated method stub } @Override public void attributeRemoved(HttpSessionBindingEvent se) { // TODO Auto-generated method stub } @Override public void attributeReplaced(HttpSessionBindingEvent se) { // TODO Auto-generated method stub } }
XxxAttributeListener
1). 监听 ServletContext, HttpSession, ServletRequest 中添加属性,替换属性,移除属性的事件监听器.
2). 以 ServletRequestAttributeListener 为例:
//添加属性时被调用 public void attributeAdded(ServletRequestAttributeEvent srae) { System.out.println("向 request 中添加了一个属性..."); } //移除属性时被调用 @Override public void attributeRemoved(ServletRequestAttributeEvent srae) { System.out.println("从 request 中移除了一个属性..."); } //替换属性时被调用. @Override public void attributeReplaced(ServletRequestAttributeEvent srae) { System.out.println("request 中属性替换了..."); }
3). 这三个 ServletContextAttributeListener,
ServletRequestAttributeListener, HttpSessionAttributeListener 监听器较少被使用.
4). API:
ServletRequestAttributeEvent:
> getName():获取属性的名字
> getValue():获取属性的值.
2.4 感知 Session 绑定的事件监听器
保存在 Session 域中的对象可以有多种状态:绑定到 Session 中;从 Session 域中解除绑定;随 Session 对象持久化到一个存储设备中;随 Session 对象从一个存储设备中恢复。
Servlet 规范中定义了两个特殊的监听器接口来帮助 JavaBean 对象了解自己在 Session 域中的这些状态:HttpSessionBindingListener接口和HttpSessionActivationListener接口 ,实现这两个接口的类不需要 web.xml 文件中进行注册。
实现了HttpSessionBindingListener接口的 JavaBean 对象可以感知自己被绑定到 Session 中和从 Session 中删除的事件。当对象被绑定到 HttpSession 对象中时,web 服务器调用该对象的 void valueBound(HttpSessionBindingEvent event) 方法。当对象从 HttpSession 对象中解除绑定时,web 服务器调用该对象的 void valueUnbound(HttpSessionBindingEvent event)方法。
HttpSessionBindingListener
1). 监听实现了该接口的 Java 类的对象被绑定到 session 或从 session 中解除绑定的事件.
//当前对象被绑定到 session 时调用该方法 public void valueBound(HttpSessionBindingEvent event) //当前对象从 session 中解除绑定调用该方法 public void valueUnbound(HttpSessionBindingEvent event)
2). 注意:该监听器不需要在 web.xml 文件中进行配置.
3). HttpSessionBindingEvent:
getName()
getValue()
getSession()
4). 该监听器较少被使用.
HttpSessionActivationListener
实现了HttpSessionBindingListener接口的 JavaBean 对象可以感知自己被活化和钝化的事件。当绑定到 HttpSession 对象中的对象将要随 HttpSession 对象被钝化之前,web 服务器调用该对象的 void sessionWillPassivate(HttpSessionBindingEvent event) 方法。当绑定到 HttpSession 对象中的对象将要随 HttpSession 对象被活化之后,web 服务器调用该对象的 void sessionDidActive(HttpSessionBindingEvent event)方法。
1). 监听实现了该接口和 Serializable 接口的 Java 类的对象随 session 钝化和活化事件
> 活化: 从磁盘中读取 session 对象
> 钝化: 向磁盘中写入 session 对象
> session 对象存储在tomcat 服务器的 workCatalinalocalhostcontextPath 目录下. SESSION.SER
2). 该监听器不需要在 web.xml 文件中进行配置.
3).
//在活化之后被调用. public void sessionDidActivate(HttpSessionEvent se) //在钝化之前被调用 public void sessionWillPassivate(HttpSessionEvent se) HttpSessionEvent: getSession()
4). 该监听器较少被使用.