过滤器的工作时机介于浏览器和Servlet请求处理之间,可以拦截浏览器对Servlet的请求,也可以改变Servlet对浏览器的响应。
其工作模式大概是这样的:
一、Filter的原理
在Servlet API中,过滤器接口Filter会依赖于FilterChain和FilterConfig两个接口,都位于package javax.servlet;包中。
在Tomcat容器中,ApplicationFilterChain和ApplicationFilterConfig两个类分别实现了FilterChain和FilterConfig两个接口。
Filter接口和FilterChain接口都有一个叫doFilter()的方法,Filter的doFilter()在web应用中编写具体的过滤器时,由继承Filter的实现类来重写;FilterChain接口的doFilter()方法由Tomcat容器实现了。
相关接口和类的结构关系如下图:
以下简单探索Filter的原理。
ApplicationFilterChain类在Tomcat源码中位于包org.apache.catalina.core中。
用ApplicationFilterConfig类型的数组filters保存了web应用中设置的若干个ApplicationFilterConfig实例,由ApplicationFilterConfig实例可以获得web中定义的Filter实例。因此在这种意义上,ApplicationFilterConfig实例也就的映射成Filter实例。
pos指针记录filters数组中当前的ApplicationFilterConfig实例索引。
n指针存储所有的ApplicationFilterConfig实例数量。
在ApplicationFilterChain中,主要实现了FilterChain的doFilter()方法。
//package org.apache.catalina.core; //继承javax.servlet.FilterChain(request,response)方法 @Override public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException { if( Globals.IS_SECURITY_ENABLED ) {//判断是否设置安全管理器 final ServletRequest req = request; final ServletResponse res = response; try { java.security.AccessController.doPrivileged( new java.security.PrivilegedExceptionAction<Void>() { @Override public Void run() throws ServletException, IOException { internalDoFilter(req,res);//调用内部私有的internalDoFilter()方法 return null; } } ); } catch( PrivilegedActionException pe) { Exception e = pe.getException(); if (e instanceof ServletException) throw (ServletException) e; else if (e instanceof IOException) throw (IOException) e; else if (e instanceof RuntimeException) throw (RuntimeException) e; else throw new ServletException(e.getMessage(), e); } } else { internalDoFilter(request,response);//调用内部私有的internalDoFilter()方法 } }
内部私有的internalDoFilter()方法如下:
private void internalDoFilter(ServletRequest request,ServletResponse response) throws IOException, ServletException { if (pos < n) { ApplicationFilterConfig filterConfig = filters[pos++]; try { Filter filter = filterConfig.getFilter(); //其他处理省略 if( Globals.IS_SECURITY_ENABLED ) { //其他处理省略 //通过invoke()调用filter对象的doFilter()方法 SecurityUtil.doAsPrivilege ("doFilter", filter, classType, args, principal); } else { //直接调用filter对象的doFilter()方法 filter.doFilter(request, response, this); } } catch (IOException | ServletException | RuntimeException e) { //异常处理省略 } return; } try { //其他代码省略 if ((request instanceof HttpServletRequest) && (response instanceof HttpServletResponse) && Globals.IS_SECURITY_ENABLED ) { //其他代码省略 //通过invoke()调用servlet对象的servicer()方法 SecurityUtil.doAsPrivilege("service",servlet,classTypeUsedInService,args,principal); } else { //直接调用servlet对象的service()方法 servlet.service(request, response); } } catch (IOException | ServletException | RuntimeException e) { //异常处理省略 } }
逻辑已经很清楚,当web应用设置了多了过滤器时(比如同时设置字符过滤器、请求参数编码过滤和静态资源过滤器三个过滤器)。会依次调用这三个Filter实例的doFilter方法,就相当于是一个任务链,完成之后,在调用servlet的service()方法正式处理请求逻辑。
总结起来,过滤器的工作流程大致如下:
请求到来,陆续调用各个Filter实例的doFilter()方法,然后在调用servlet的service()处理请求,之后在执行位于doFilter()方法后的代码处理逻辑,最后才返回给浏览器。
//service()前的处理逻辑 chain.doFilter(req, res); //service()后的处理逻辑
二、简单应用
常见的设置过滤器的场景为:
1、特殊字符过滤器(如html页面元素:<,>等);
2、请求参数编码过滤器(GET请求参数和POST请求参数编码设置);
3、登录检测过滤器(判定用户是否登录)等等。
如下针对2和3的场景实现一个过滤器:
package com.tms.web; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.log4j.Logger; public class TMSFilter implements Filter { private static Logger logger = Logger.getLogger(TMSFilter.class); public void init(FilterConfig arg0) throws ServletException { // TODO Auto-generated method stub } public void destroy() { // TODO Auto-generated method stub } public void doFilter(ServletRequest resquest, ServletResponse response, FilterChain chain) throws IOException, ServletException { // TODO Auto-generated method stub HttpServletRequest req = (HttpServletRequest)resquest; HttpServletResponse res = (HttpServletResponse)response; logger.info(req.getRequestURL()); //用户登录检测 if (req.getSession().getAttribute("hasLoginedUsername") != null) { //请求参数编码设置 HttpServletRequest wreq = new TMSRequestWrapper(req,"UTF-8"); chain.doFilter(wreq, res); //service()后的处理逻辑 }else { res.sendRedirect("/tms/login"); } } }
通过继承HttpServletRequestWrapper类,覆盖其getParameter(String name)方法,将请求对象包装处理,使其针对GET和POST请求都能够正确的处理编码问题,这样的好处是集中在一个地方处理编码问题和登录检测,避免了在每个Servlet的doXXX()方法中去写这部分重复的代码,利于重构和维护,体现了DRY原则。
package com.tms.web; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class TMSRequestWrapper extends HttpServletRequestWrapper { private String encoding = ""; public TMSRequestWrapper(HttpServletRequest req,String encoding){ super(req); this.encoding = encoding; } public String getParameter(String name){ HttpServletRequest req = (HttpServletRequest)getRequest(); String value = ""; try { //POST请求编码设置,直接通过setCharacterEncoding()来设置编码方式 req.setCharacterEncoding(encoding); value = req.getParameter(name); //如果为GET请求,通过获取字节数据再转化为String对象来设置编码方式 if("GET".equals(req.getMethod())){ if (value != null) { byte[] b = value.getBytes("ISO-8859-1");//ISO-8859-1 value = new String(b, encoding); } } } catch (Exception e) { // TODO: handle exception new RuntimeException(e); } return value; } }
参考资料:
1、《深入分析java web技术内幕》
2、《Servlet和JSP笔记》
3、apache-tomcat-9.0.1-src