过滤器 Filter

Servlet 可以分为简单 Servlet 、过滤器和监听器，过滤器本质上也是 Servlet ，只不过它是 Tomcat 管理的一种特殊的 Servlet 。

struts 框架中又把过滤器叫做拦截器，它就像 web 应用程序的一个单向进出的门。浏览器发送过来的请求由 Tomcat 解析后，Tomcat 会先将请求给过滤器，由过滤器进行过滤之后，再转给相应的 Servlet 进行处理，待此次请求响应送到浏览器去之前，最后要经过的组件也是这个过滤器。简单的说就是，在 web 应用程序前加上了一个只能够单向进出的门，request 请求只能从这里进，最后的 response 响应也只能从这里出。而且这个门的组件化程度非常的高，直接将过滤器类添加到项目中，再进行相关配置就可以使用了，完全不需要对前台页面和后台组件做相关的更改。因为 JSP 本质上也是 Servlet 类，所以过滤器对于访问 JSP 页面的请求同样有效。

要想实现一个过滤器类要遵循以下几个语法点：

• 添加包声明并导入相关的包
• 实现 javax.servlet.Filter 接口，并实现相关它的三个抽象方法：init()、doFilter()和destory()
• 在 WEB-INF/web.xml 中对它进行相关配置，配置方法和 Servlet 的配置是一样的

过滤器链

一个 web 应用程序可以配置多个过滤器类，如果他们之间过滤的是同一个资源的话，就会以链的形式连接在一起，执行顺序就是由配置文件中配置的先后顺序确定的。Tomcat 将请求给第一个过滤器，然后第一个过滤器做了相关工作后再把请求给它的下一过滤器类，依次这样下去之后，最后把请求转发到最开始需要访问的 web 组件去。加上了过滤器的概念后，web 应用程序的执行流程图如下。

_Filter.jpg

Filter 生命周期

Filter 本质上就是 Servlet 的变形，这一点同 JSP 是一样的。所以 Filter 生命周期和 Servlet 的声明周期是一样的吗？废话哦，都是人，分工不同而已，生老病死不都是一样的，如下图所示。

_FilterLifeCycle.jpg

javax.servlet.Filter 接口的全部内容就是只有三个抽象方法，分别对应着 Filter 对象的初始化、运行和销毁状态节点。

• void init(FilterConfig filterConfig)过滤器对象一旦被创建，就会立即调用此方法进行初始化。这里接收的参数是 javax.servlet.FilterConfig 接口类型的，因为 Filter 类也需要在 WEB-INF/web.xml 中进行和 Servlet 一样的配置，所以它也可以配置局部初始化参数，那么这里的初始化参数就会被 Tomcat 提取后，设定到 FilterConfig 对象中去。这个对象和 ServletConfig 接口类型的 config 内置对象在设计上没有联系，但是在功能和语义上是完全对应的。都是保存这这个 Servlet 类对应的初始化配置信息，只是因为他们名字不同，所以对应的配置对象名字设计也不同，但是设计思想是一样的。
• void destroy()在对象被摧毁之前会调用此方法，一般用来做资源的回收、关闭等。
• doFilter(ServletRequest request, ServletResponse response,FilterChain chain) Tomcat 每一次接收到浏览器发送过来的请求都会在其访问的指定组件之前，事先执行此方法。

关于doFilter()方法还有以下需要记录的

• 需要注意的是这里的 request 和 response 是 Servletxxx 类型的，如果需要使用到 HTTP 的指定特性，需要向下转型。
• 第三个参数 chain 表示过滤器链的意思，也就是说此方法必须调用 FilterChain 接口的doFilter()方法，使得下一个过滤器被调用，或者说将请求转发给它需要访问的 web 组件。根据前面讲到的过滤器是一个单向进出门的概念，如果不调用此方法，那么就相当于说请求没有从这个门进去，那就会从上至下依次执行完Filter.doFilter()方法后，请求当场结束，直接发送响应报文给浏览器，那么浏览器发送的请求永远也到不了它需要访问的 web 组件中去。根据这个特点，在编写此方法时，Filter.doFilter()方法前面写的是过滤请求的代码，后面写的是请求结束后返回的响应报文的过滤代码。具体流程图如下：

_FilterChain.jpg

Filter 在 web.xml 中的配置

Filter 本质上也是 Servlet ，所以它的配置和 Servlet 几乎是一模一样的。唯独特殊的一点是，Tomcat 启动的时候，Filter 对象就会立即被创建，如果它不早早的被创建，那怎么实现过滤器的功能呢？所以它不需要像 Servlet 类一样使用<load-on-startup>元素来指定它的加载优先级，期望它能够在 Tomcat 一启动就立即被创建。

配置方式如下：

<filter>
    <filter-name>SimpleFilter</filter-name>
    <filter-class>filter.SimpleFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>SimpleFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

其中<url-pattern>中的/表示当前 web 应用的根目录。如果后面接的是通配符*表示所有的请求都需要经过这个过滤器过滤，如果是*.jsp，表示过滤所有的 .jsp 文件。如果像/*.jsp这样既有路径匹配又有扩展名匹配， Tomcat 在解析 web.xml 文件的时候不知道到底要按照哪种方式匹配，就会产生 IllegalArgumentException 异常。添加初始化参数的方式和 Servlet 是一样的，都是使用的<init-param>元素包含 name 和 value 信息。

过滤器的应用

过滤器可以用来做编码过滤、登录验证以及非法文字拦截还可以做结果拦截器，还有记录系统访问日志以及利用它来记录当前页面历史访问次数，这不是博客网站都会有的一个基本功能吗？

编码过滤对拿到的数据进行指定编码设置就可以了，这样可以避免每个 Servlet 都显示的去指定编码设置，避免写大量重复代码。非法文字拦截只要对拿到的数据内容进行判断就可以了。两者的实现都很简单！

登录验证是任何一个动态网站都必备的功能了，具体是通过判断此次会话的 session 中是否有登录验证信息来确定登录状态的。这里面有一个隐式的陷阱存在，如果是第一次登录访问，那么此时服务器是没有对应的 session 的，如果这个时候还没有进行登录判断就提前被拦截器拦截，判断不处于登录状态后，就提前结束此次请求后，那么用户将永远无法登录系统。解决方法是判断请求 url ，如果是登录页面，则不进行 session 登录状态判断。