像图片或者HTML文件这样的静态资源,在浏览器中打开正确的URL即可下载,只要该资源是放在应用程序的目录下,或者放在应用程序目录的子目录下,而不是放在WEB-INF下,tomcat服务器就会将该资源发送到浏览器。然而,有时静态资源是保存在应用程序目录之外,或者是保存在某一个数据库中,或者有时需要控制它的访问权限,防止其他网站交叉引用它。如果出现以上任意一种情况,都必要通过编程来发送资源。
简言之,通过编程进行的文件下载,使你可以有选择地将文件发送到浏览器。本篇博客将介绍如果通过编程把资源发送到浏览器,并通过两个案例进行示范。
一 文件下载概览
为了将像文件这样的资源发送到浏览器,需要在控制器中完成以下工作:
- 对请求处理方法添加HttpServletResponse、HttpServletRequest参数;
- 将相应的内容类型设为文件的内容类型。content-Type标题在某个实体的body中定义数据的类型,并包含媒体类型和子类型标识符。如果不清楚内容类型,并且希望浏览器式中显示Save As(另存为)对话框,则将它设为application/octet-stream。这个值是不区分大小写的(HTTP Content-type 对照表)。
- 添加一个属性为content-Disposition的HTTP的响应标题,并赋予attachement;filename=fileName,这里的fileName是默认文件名,应该出现在File Download(文件下载)对话框中,它通常与文件同名,但是也并非一定如此。
文件下载的流程具体如下:
- 通过浏览器,输入URL请求控制器的请求处理函数;
- 请求处理方法根据文件路径,将文件转换为输入流;
- 通过输出流将刚才已经转为输入流的文件,输出给用户(浏览器);
例如,以下代码将一个文件发送到浏览器:
//下载文件:需要设置消息头 response.setCharacterEncoding("UTF-8"); response.addHeader("content-Type", "application/octet-stream"); //指定文件类型 MIME类型:二进制文件(任意文件) String encodeFileName = null; if(userAgent.contains("MSIE") || userAgent.contains("Trident") || (userAgent.contains("GECKO") && userAgent.contains("RV:11"))) { //处理IE浏览器下载中文文件名乱码问题 encodeFileName = URLEncoder.encode( filename,"UTF-8"); }else { encodeFileName = "=?UTF-8?B?" + new String(Base64.encodeBase64(filename.getBytes("UTF-8"))) + "?="; //encodeFileName = new String(filename.getBytes("UTF-8"),"ISO-8859-1"); } System.out.println(filename + ":" + encodeFileName); //如果有换行,对于文本文件没有什么问题,但是对于其他格式:比如AutoCAD,Word,Excel等文件下载下来的文件中就会多出来一些换行符//0x0d和0x0a,这样可能导致某些格式的文件无法打开 response.reset(); response.addHeader("content-Disposition", "attachement;filename="+encodeFileName); //告诉浏览器该文件以附件方式处理,而不是去解析 //通过文件地址,将文件转换为输入流 InputStream in = request.getServletContext().getResourceAsStream(filename); //通过输出流将刚才已经转为输入流的文件,输出给用户 ServletOutputStream out= response.getOutputStream(); byte[] bs = new byte[1000]; int len = -1; while((len=in.read(bs)) != -1) { out.write(bs,0,len); } out.close(); in.close();
为了编程将一个文件发送到浏览器,首先要读取该文件作为InputStream ,随后,获取HttpServletResponse的OutputStream;循环从in中读取1000个字节,写入out中,直至文件读取完毕。
注意:这里将文件转换为输入流使用的是:
request.getServletContext().getResourceAsStream(filename);
filename指的是相对当前应用根路径下的文件。如果给定的路径是绝对路径,可以采用如下函数将文件转换为输入流:
FileInputStream in = new FileInputStream(filename) ;
将文件发送到HTTP客户端的更好方法是使用Java NIO的Files.copy()方法:
//将文件的虚拟路径转为在文件系统中的真实路径 String realpath = request.getServletContext().getRealPath(filename); System.out.print(realpath); Path file = Paths.get(realpath); Files.copy(file,response.getOutputStream());
代码更短,运行速度更快。
二 范例1:隐藏资源
我们创建一个download应用程序,用于展示如何向浏览器发送文件。
1、目录结构
2、 Login类
Login类有两个属性,登录名和登录密码:
package domain; import java.io.Serializable; //登录实体类 public class Login implements Serializable { private static final long serialVersionUID = 1L; //用户名 private String userName; //用户密码 private String password; public String getUserName() { return userName; } public void setUserName(String userName) { this.userName = userName; } public String getPassword() { return password; } public void setPassword(String password) { this.password = password; } }
3、ResourceController类
在这个应用程序中,由ResourceController类处理用户登录,并将一个secret.pdf文件发送给浏览器。secret.pdf文件放在/WEB-INF/data目录下,因此不能直接方法。只能得到授权的用户,才能看到它,如果用户没有登录,应用程序就会跳转到登录页面。
package controller; import java.io.IOException; import java.nio.file.Files; import java.nio.file.Path; import java.nio.file.Paths; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; import org.springframework.stereotype.Controller; import org.springframework.ui.Model; import org.springframework.web.bind.annotation.ModelAttribute; import org.springframework.web.bind.annotation.RequestMapping; import domain.Login; @Controller public class ResourceController { private static final Log logger = LogFactory.getLog(ResourceController.class); //请求URL:/login @RequestMapping(value="/login") public String login(@ModelAttribute Login login, HttpSession session, Model model) { model.addAttribute("login", new Login()); //校验用户名和密码 if ("paul".equals(login.getUserName()) && "secret".equals(login.getPassword())) { //设置sessopm属性"loggedIn" session.setAttribute("loggedIn", Boolean.TRUE); //校验通过 请求转发到Main.jsp页面 return "Main"; } else { //校验失败 请求转发到LoginForm.jsp页面 return "LoginForm"; } } //请求URL:/download-resource @RequestMapping(value="/download-resource") public String downloadResource(HttpSession session, HttpServletRequest request, HttpServletResponse response, Model model) { //如果用户没有登录 if (session == null || session.getAttribute("loggedIn") == null) { model.addAttribute("login", new Login()); //请求转发到LoginForm.jsp页面 等待用户登录 return "LoginForm"; } //用户已经登录 获取待下载文件夹/WEB-INF/data在文件系统的真实路径 String dataDirectory = request. getServletContext().getRealPath("/WEB-INF/data"); //创建Path对象 文件为/WEB-INF/data/secret.pdf Path file = Paths.get(dataDirectory, "secret.pdf"); //如果文件存在 下载文件 if (Files.exists(file)) { //指定文件类型 pdf类型 response.setContentType("application/pdf"); //告诉浏览器该文件以附件方式处理,而不是去解析 response.addHeader("Content-Disposition", "attachment; filename=secret.pdf"); try { Files.copy(file, response.getOutputStream()); } catch (IOException ex) { } } return null; } }
4、视图
控制器的第一个请求处理方法是login(),将用户请求转发到登录表单LoginForm.jsp:
<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %> <!DOCTYPE html> <html> <head> <title>Login</title> <style type="text/css">@import url("<c:url value="/css/main.css"/>");</style> </head> <body> <div id="global"> <form:form modelAttribute="login" action="login" method="post"> <fieldset> <legend>Login</legend> <p> <label for="userName">User Name: </label> <form:input id="userName" path="userName" cssErrorClass="error"/> </p> <p> <label for="password">Password: </label> <form:password id="password" path="password" cssErrorClass="error"/> </p> <p id="buttons"> <input id="reset" type="reset" tabindex="4"> <input id="submit" type="submit" tabindex="5" value="Login"> </p> </fieldset> </form:form> </div> </body> </html>
当我们输入用户名"paul",密码"secret",将会成功登录,然后请求转发到Main.jsp页面,该页面包含一个链接,点击它可以将secret.pdf文件下载下来:
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %> <!DOCTYPE html> <html> <head> <title>Download Page</title> <style type="text/css">@import url("<c:url value="/css/main.css"/>");</style> </head> <body> <div id="global"> <h4>Please click the link below.</h4> <p> <a href="download-resource">Download</a> </p> </div> </body> </html>
控制器的第二个方法downloadResource(),它通过验证session属性loggedIn是否存在,来核实用户是否已经成功登录。如果找到该属性,就会将文件发送到浏览器。否则,用户就会跳转到登录页面。
main.css:
#global { text-align: left; border: 1px solid #dedede; background: #efefef; width: 560px; padding: 20px; margin: 100px auto; } form { font:100% verdana; min-width: 500px; max-width: 600px; width: 560px; } form fieldset { border-color: #bdbebf; border-width: 3px; margin: 0; } legend { font-size: 1.3em; } form label { width: 250px; display: block; float: left; text-align: right; padding: 2px; } #buttons { text-align: right; } #errors, li { color: red; } .error { color: red; font-size: 9pt; }
5、配置文件
下面给出springmvc-config.xml文件的所有内容:
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p" xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:context="http://www.springframework.org/schema/context" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd"> <context:component-scan base-package="controller" /> <mvc:annotation-driven/> <mvc:resources mapping="/css/**" location="/css/" /> <mvc:resources mapping="/*.html" location="/" /> <bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver"> <property name="prefix" value="/WEB-INF/jsp/" /> <property name="suffix" value=".jsp" /> </bean> </beans>
部署描述符(web.xml文件):
<?xml version="1.0" encoding="UTF-8"?> <web-app version="3.1" xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"> <servlet> <servlet-name>springmvc</servlet-name> <servlet-class> org.springframework.web.servlet.DispatcherServlet </servlet-class> <init-param> <param-name>contextConfigLocation</param-name> <param-value>/WEB-INF/config/springmvc-config.xml</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>springmvc</servlet-name> <url-pattern>/</url-pattern> </servlet-mapping> </web-app>
6、测试
将应用程序部署到tomcat服务器,并在网页输入以下URL:
http://localhost:8008/download/login
将会看到一个表单:
输入用户名"paul",密码"secret",将会跳转到文件下载页面:
点击超链接,下载secret.pdf文件。
三 范例2:防止交叉引用
心怀叵测的竞争对手有可能通过交叉引用“窃取”你的网站资产,比如,将你的资料公然放在他的资源上,好像那些东西原本就属于他的一样。如果通过编程控制,使其只有当referer中包含你的域名时才发出资源,就可以防止那种情况发生。当然,那些心意坚决的窃贼仍有办法下载到你的东西,只不过不像之前那么简单罢了。
1、ImageController类
download应用提供了ResourceController类,使其仅当referer不为null且包含你的域名时时,才将图片发送给浏览器,这样可以防止仅在浏览器中输入网址就能下载的情况发生:
package controller; import java.io.IOException; import java.nio.file.Files; import java.nio.file.Path; import java.nio.file.Paths; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RequestHeader; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestMethod; @Controller public class ImageController { private static final Log logger = LogFactory.getLog(ImageController.class); //请求URL:/get-image 使用了路径变量id @RequestMapping(value="/get-image/{id}", method = RequestMethod.GET) public void getImage(@PathVariable String id, HttpServletRequest request, HttpServletResponse response, @RequestHeader(value = "referer") String referer, @RequestHeader(value = "User-Agent", required = true, defaultValue = "-999") String userAgent) { System.out.println(referer); System.out.println(userAgent); //判断referer标题是否为null 并且是从自己的域名发出的资源请求? if (referer != null && referer.contains("http://localhost:8008")) { //获取待下载文件夹/WEB-INF/image在文件系统的真实路径 String imageDirectory = request.getServletContext().getRealPath("/WEB-INF/image"); //创建Path对象 文件为/WEB-INF/image/id.jpg Path file = Paths.get(imageDirectory, id + ".jpg"); //文件存在 则下载文件 if (Files.exists(file)) { //指定文件类型 img类型 response.setContentType("image/jpg"); //告诉浏览器该文件以附件方式处理,而不是去解析 //response.addHeader("Content-Disposition", "attachment; filename="+id + ".jpg"); try { Files.copy(file, response.getOutputStream()); } catch (IOException e) { e.printStackTrace(); } } } } }
我们在请求处理方法getImage()的签名中使用了@RequestHeader(value = "referer") String referer参数,referer用来获取获取来访者地址。只有通过链接访问当前页的时候,才能获取上一页的地址;否则referer的值为null,通过window.open打开当前页或者直接输入地址,也为null。
2、images.html
利用images.html,可以对这个应用进行测试:
<!DOCTYPE html> <html> <head> <title>Photo Gallery</title> </head> <body> <img src="get-image/1"/> <img src="get-image/2"/> <img src="get-image/3"/> <img src="get-image/4"/> <img src="get-image/5"/> <img src="get-image/6"/> <img src="get-image/7"/> <img src="get-image/8"/> <img src="get-image/9"/> <img src="get-image/10"/> </body> </html>
3、测试
将应用程序部署到tomcat服务器,并在网页输入以下URL:
http://localhost:8008/download/images.html
将会看到如下效果:
相反,如果直接在浏览器输入如下URL将会获取图片失败:
http://localhost:8008/get-image/1
参考文章
[2]SpringMVC(六):@RequestMapping下使用@RequestHeader绑定请求报头的属性值、@CookieValue绑定请求中的Cookie值
[3]Spring MVC学习指南