java servlet过滤器简解及实例

在整个概念中，个人觉得有一篇文章写得不错，通俗易懂，这里就直接套用以上原博文，

一、概念：

Filter也称之为过滤器，它是Servlet技术中比较激动人心的技术，WEB开发人员通过Filter技术，对web服务器管理的所有web资源：例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截，从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。

Java Web 之过滤器Filter详解

二、Filter简介

Servlet API中提供了一个Filter接口，开发web应用时，如果编写的Java类实现了这个接口，则把这个java类称之为过滤器Filter。通过Filter技术，开发人员可以实现用户在访问某个目标资源之前，对访问的请求和响应进行拦截。简单说，就是可以实现web容器对某资源的访问前截获进行相关的处理，还可以在某资源向web容器返回响应前进行截获进行处理。

三、快速入门

1、新建一个类，实现Filter接口

2、实现doFilter()方法，打印一句话，来证明能够进行拦截

3、在web.xml中进行配置（参照Servlet配置）

4、访问一个页面，看看能不能拦截

[java]  view plain copy  
 package com.test.filter;    
   
 import java.io.IOException;    
   
 import javax.servlet.Filter;    
   
 import javax.servlet.FilterChain;    
   
 import javax.servlet.FilterConfig;    
   
 import javax.servlet.ServletException;    
   
 import javax.servlet.ServletRequest;    
   
 import javax.servlet.ServletResponse;    
   
 public class Demo1Filter implements Filter {    
   
     private FilterConfig filterConfig;    
   
     public void doFilter(ServletRequest request, ServletResponse response,    
   
             FilterChain chain) throws IOException, ServletException {    
   
         System.out.println("Demo1过滤前");    
   
         System.out.println(filterConfig.getInitParameter("param1"));    
   
         chain.doFilter(request, response);//放行。让其走到下个链或目标资源中    
   
         System.out.println("Demo1过滤后");    
   
     }    
   
     public void init(FilterConfig filterConfig) throws ServletException {    
   
         System.out.println("初始化了");    
   
         this.filterConfig = filterConfig;    
   
     }    
   
     public void destroy() {    
   
         System.out.println("销毁了");    
   
     }    
   
 }

在web.xml中进行配置

[html]  view plain copy  
 <filter>  
     <filter-name>Demo1Filter</filter-name>  
     <filter-class>com.itheima.filter.Demo1Filter</filter-class>  
     <init-param>  
         <param-name>param1</param-name>  
         <param-value>value在这里呢</param-value>  
     </init-param>  
 </filter>  
 <filter-mapping>  
     <filter-name>Demo1Filter</filter-name>  
     <url-pattern>/*</url-pattern>  
     <dispatcher>REQUEST</dispatcher> <!-- 没有配置dispatcher就是默认request方式的 -->  
     <dispatcher>FORWARD</dispatcher>  
     <dispatcher>ERROR</dispatcher>  
     <dispatcher>INCLUDE</dispatcher>  
 </filter-mapping>  

四、Filter的应用场景

通过对filter过滤器的了解，可以得知在以下三种情况下可以做些处理：

1> 通过控制对chain.doFilter的方法的调用，来决定是否需要访问目标资源。

比如，可以在用户权限验证等等。判断用户是否有访问某些资源的权限，有权限放行，没权限不执行chain.doFilter方法。

2> 通过在调用chain.doFilter方法之前，做些处理来达到某些目的。

比如，解决中文乱码的问题等等。可以在doFilter方法前，执行设置请求编码与响应的编码。甚至可以对request接口进行封装装饰来处理get请求方式的中文乱码问题(重写相应的request.getParameter方法)。

3> 通过在调用chain.doFilter方法之后，做些处理来达到某些目的。

比如对整个web网站进行压缩。在调用chain.doFilter方法之前用类A对response对象进行封装装饰，重写getOutputStream和重写getWriter方法。在类A内部中，将输出内容缓存进ByteArrayOutputStream流中，然后在chain.doFilter方法执行后，获取类A中ByteArrayOutputStream流缓存数据，用GZIPOutputStream流进行压缩下。

五、Filter实现拦截的原理

Filter接口中有一个doFilter方法，当开发人员编写好Filter类实现doFilter方法，并配置对哪个web资源进行拦截后，WEB服务器每次在调用web资源的service方法之前(服务器内部对资源的访问机制决定的)，都会先调用一下filter的doFilter方法。

六、Filter生命周期

和Servlet一样Filter的创建和销毁也是由WEB服务器负责。不过与Servlet区别的是，它是1>在应用启动的时候就进行装载Filter类(与Servlet的load-on-startup配置效果相同)。2>容器创建好Filter对象实例后，调用init()方法。接着被Web容器保存进应用级的集合容器中去了等待着，用户访问资源。3>当用户访问的资源正好被Filter的url-pattern拦截时，容器会取出Filter类调用doFilter方法，下次或多次访问被拦截的资源时，Web容器会直接取出指定Filter对象实例调用doFilter方法(Filter对象常驻留Web容器了)。4>当应用服务被停止或重新装载了，则会执行Filter的destroy方法，Filter对象销毁。

注意：init方法与destroy方法只会直接一次。

七、Filter部署应用注意事项

1> filter-mapping标签中servlet-name与url-pattern。

Filter不仅可以通过url-pattern来指定拦截哪些url匹配的资源。而且还可以通过servlet-name来指定拦截哪个指定的servlet(专门为某个servlet服务了,servlet-name对应Servlet的相关配置)。

2> filter-mapping标签中dispatcher。

指定过滤器所拦截的资源被 Servlet 容器调用的方式，可以是REQUEST,INCLUDE,FORWARD和ERROR之一，默认REQUEST。用户可以设置多个<dispatcher> 子元素用来指定 Filter 对资源的多种调用方式进行拦截。

REQUEST：

当用户直接访问页面时，Web容器将会调用过滤器。如果目标资源是通过RequestDispatcher的include()或forward()方法访问或ERROR情况时，那么该过滤器就不会被调用。

INCLUDE：

如果目标资源是通过RequestDispatcher的include()方法访问时，那么该过滤器将被调用。除此之外，该过滤器不会被调用。

FORWARD：

如果目标资源是通过RequestDispatcher的forward()方法访问时，那么该过滤器将被调用，除此之外，该过滤器不会被调用。

ERROR：

如若在A.jsp页面page指令中指定了error属性=examError.jsp，那么A.jsp中若出现了异常，会跳转到examError.jsp中处理。而在跳转到examError.jsp时，若过滤器配置了ERROR的dispather那么则会拦截，否则不会拦截。

总结：

一个filter 包括：

　　1. 在servlet被调用之前截获；

　　2. 在servlet被调用之前检查servlet request;

　　3. 根据需要修改request头和request数据；

　　4. 根据需要修改response头和response数据；

　　5. 在servlet被调用之后截获.

　　你能够配置一个filter 到一个或多个servlet；单个servlet或servlet组能够被多个filter 使用.几个实用的filter 包括：用户辨认filter，日志filter，审核filter，加密filter，符号filter，能改变xml内容的XSLT filter等.

====================================割割割======================

以上为文章原文，此处尊重原作者附上出处：http://blog.csdn.net/jzhf2012/article/details/8476997

表示自己一直处于仅仅只会用的级别，而不懂得原理不懂得由来，所以此处也只能是需要使用的代码块进行自我复习.

filter作用及原理上面其实已经讲得差不多(要我写还写不出来这么高大上的东西)，那么我附上一个简单而实用的代码，

<!-- 自定义的过滤器  --><filter><filter-name>authorityFilter</filter-name>  <span style="font-family: Arial, Helvetica, sans-serif;">			</span>
<filter-class>cn.thinknet.filter.AuthorityFilter</filter-class><span style="font-family: Arial, Helvetica, sans-serif;"><!-- 自定义过滤器的位置 --></span>
<init-param><param-name>allowAuthorityURL</param-name><!-- 不需要过滤的地址 --><param-value>login.jsp,register.jsp,login.action,sendMail.action,register.action,getbackPwdOne.jsp,getbackPwdTwo.jsp,getbackPwdThree.jsp,getbackOne.action,getbackTwo.action,getbackThree.action,forget_pwd.action,getHomePageResult.action,index.jsp,index.html,userAuthen.action</param-value></init-param><init-param><param-name>authorityURL</param-name><!-- 只对指定过滤参数后缀进行过滤 --><param-value>.action,.jsp,.do</param-value></init-param><init-param><param-name>redirectPath</param-name><!-- 未通过跳转到登录界面 --><param-value>/wrtPlatformVt/wrt/login.jsp</param-value></init-param><init-param><param-name>disableFilter</param-name><!-- Y:过滤无效 --><param-value>N</param-value></init-param></filter><filter-mapping> <!-- 拦截所有的请求信息   如想通过扩展名匹配拦截。 如：.action后缀的请求 配置则为 *.action--><!-- 精确匹配  顾名思义精确到单个请求  如：/manage/login.action 配置则为/manage/login.action --><!-- 路劲匹配  通过*配符的方式进行相对匹配，如下的/* 则表示拦截所有信息 --><filter-name>authorityFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>

附上：servlet url-pattern匹配规则： http://zy19982004.iteye.com/blog/1751695

<init-param> 标签对应的是参数名和值，可以用于在init()时通过FilterConfig的对象 filterConfig.getInitParameter("参数名")获取。

附上：<init-param>标签的基本使用：http://blog.csdn.net/yakson/article/details/9203231

自定义过滤器代码：

package cn.thinknet.filter;import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;import org.apache.commons.lang3.ArrayUtils;
import org.apache.commons.lang3.StringUtils;import cn.thinknet.utils.others.AKKeysUtil;/*** 过滤器* * * */
public class AuthorityFilter extends HttpServlet implements Filter
{/*** */private static final long serialVersionUID = 4504557649329493897L;public String[] allowAuthorityURLs;public String[] authorityURLs;public FilterConfig config;/*** 过滤不能访问的地址*/@Overridepublic void doFilter(ServletRequest request, ServletResponse response,FilterChain filterChain) throws IOException, ServletException{// 未登录需要跳转的地址String redirectPath = config.getInitParameter(AKKeysUtil.WEB_CONTEXT_REDIRECT_PATH);// 过滤是否启用boolean isEnable = true; // 过滤器可用String disableStr = config.getInitParameter(AKKeysUtil.WEB_CONTEXT_DISABLE_FILTER);if (StringUtils.isNotEmpty(disableStr)){isEnable = disableStr.equals("N");}HttpServletRequest req = (HttpServletRequest) request;// 判断过滤器是否启用if (!isEnable){filterChain.doFilter(request, response);return;}// 需要过滤的后缀String authorityURL = config.getInitParameter(AKKeysUtil.WEB_CONTEXT_AUTHORITY_URL);if (StringUtils.isNotEmpty(authorityURL)){authorityURLs = authorityURL.split(",");}// 判断当前的请求地址中是否存在需要过滤的后缀if (authorityURL(req)){// 不需要过滤的地址String allowAuthorityURL = config.getInitParameter(AKKeysUtil.WEB_CONTEXT_ALLOW_AUTHORITY_URL);if (StringUtils.isNotEmpty(allowAuthorityURL)){allowAuthorityURLs = allowAuthorityURL.split(",");}// 过滤不拦截的urlif (allowAuthorityURL(req)){filterChain.doFilter(request, response);return;} else{// 判断当前用户是否登录，没有登录直接跳转到登录页面if (!relogin(redirectPath, response, req)){return;}}// 最后对action与jsp进行权限校验// if (authorityRequestAddress(req))// {// 【暂时不实现纵向越权控制】filterChain.doFilter(request, response);// }// else// {// 没有权限时// noAuthority();// }} else{// 例如js,image,css等文件不列入权限控制范围内filterChain.doFilter(request, response);}}@Overridepublic void init(FilterConfig filterConfig) throws ServletException{config = filterConfig;// WebApplicationContext ctx = WebApplicationContextUtils// .getWebApplicationContext(this.getServletContext());// menuService = (MenuService) ctx.getBean("menuService");}/*** 在未登陆的情况下允许访问的URL* * @return Boolean*/private boolean allowAuthorityURL(HttpServletRequest request){boolean isAllow = false;// 获得当前访问的地址String current_url = request.getRequestURI();if (ArrayUtils.isNotEmpty(allowAuthorityURLs)){for (String allowUrl : allowAuthorityURLs){if (StringUtils.containsIgnoreCase(current_url, allowUrl)){isAllow = true;break;}}}return isAllow;}/*** 需要过滤的后缀* * @return Boolean*/private boolean authorityURL(HttpServletRequest request){boolean isFilter = false;if (ArrayUtils.isNotEmpty(authorityURLs)){for (String suffix : authorityURLs){if (request.getRequestURI().indexOf(suffix) != -1){isFilter = true;break;}}}return isFilter;}/*** 判断员工回话是否失效* * @param redirectPath*            需要跳转的页面* @param response*            请求响应* * @param request*            请求* * @throws IOException* * @return boolean 假：代表重新登录，真：代表session存在*/private boolean relogin(String redirectPath, ServletResponse response,HttpServletRequest request) throws IOException{response.setContentType("text/html;charset=UTF-8");response.setCharacterEncoding("UTF-8");PrintWriter out = response.getWriter();// 判断该用户是否存在session中，如果有直接进入当前actionif (null == request.getSession(true).getAttribute(AKKeysUtil.USER_EMPLOY_SESSION_KEY)){// 跳转到登录界面out.print("<script language='javascript'>alert('身份验证失效，请重新登录！');window.parent.location.href='"+ redirectPath + "';</script>");return false;}// 如果用户禁用掉cookie，则跳转到登录界面，提示用户启用cookieCookie[] cookies = request.getCookies();if (null == cookies){// 1.可能用户清除过cookie 2.可能是由于用户禁用了cookie 此时都会跳转到登录界面// 跳转到登录界面out.print("<script language='javascript'>alert('Cookie被清理或是已禁用，请尝试重新登录！');window.parent.location.href='"+ redirectPath + "';</script>");return false;}return true;}
}

注意，AKKeysUtil这个是封装好的一个工具类，所有使用到的地方对应的均是 <init-param>标签的参数名，自行对应更改即可。

以上过滤器经测试是可用的，不过由于源码并不是我所写(公司前辈所留)，所以这里只能是拿出来分享之说，servlet过滤器并不等同于拦截器，常用的拦截器莫过于框架所自带的，如：Struts2，spring mvc等。如想达到权限认证(是否登陆、未登录返回登陆页面)，通过框架的拦截器达到其效果，当然也可以直接使用servlet的filter，毕竟我就是直接使用它的。。。