文章目录
- Filter详解
- 一、Filter简介
- 1.1 什么是Filter
- 1.2 Filter的简单用法(权限检查)
- 二、Filter的生命周期
- 三、FilterConfig类的介绍
- 四、FilterChain类(过滤器链)
- 五、Filter过滤器的三种拦截方式
- 5.1 精确匹配
- 5.2 目录匹配
- 5.3 后缀名匹配
Filter详解
一、Filter简介
1.1 什么是Filter
Filter是JavaWeb三大组件之一,符合JavaEE的规范——接口。
JavaWeb的三大组件——Servlet程序、Listener监听器和Filter过滤器。
作用:拦截请求,过滤响应。
拦截请求常见应用场景:
1、权限检查
2、日记操作
3、事务管理
Filter过滤器的使用步骤:
1、编写一个类实现Filter接口
2、实现过滤方法doFIlter( )
3、在web.xml中配置Filter的拦截路径
1.2 Filter的简单用法(权限检查)
现在,假如在我们的web工程下,有一个admin目录,该目录下的所有资源(包括html、jsp、jpg图片等文件)都需要用户登陆后才可以访问。
先看一下这个工程的结构:
然后,我们在hello.html和hello.jsp中分别写一句:
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Title</title>
</head>
<body>
<h1>我是admin目录下的jsp文件</h1>
</body>
</html><!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>我是admin目录下的html文件</h1>
</body>
</html>然后在webapp目录下新建一个login.jsp文件:
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>登录页面</title>
</head>
<body>
<h1>我是登录页面</h1>
</body>
</html>然后写一个拦截的Java类:AdminFilter.java:
package com.hstc.filter;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.io.IOException;
public class AdminFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
/**
* doFilter方法,专门用于拦截请求,可以用来做权限检查
* @param servletRequest
* @param servletResponse
* @param filterChain
* @throws IOException
* @throws ServletException
*/
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
//强制转换,用来获取Session对象
HttpServletRequest req = (HttpServletRequest) servletRequest;
//获取session对象
HttpSession session = req.getSession();
//获取用户名
Object username = session.getAttribute("username");
//如果用户名为空,那么返回登录页面
if (username == null){
//请求转发
servletRequest.getRequestDispatcher("/login.jsp").forward(servletRequest,servletResponse);
return;
}else {
//让程序正常访问(给权限)
filterChain.doFilter(servletRequest,servletResponse);
}
}
@Override
public void destroy() {
}
}之后在web.xml中配置需要拦截的路径:
<filter>
<filter-name>AdminFilter</filter-name>
<filter-class>com.hstc.filter.AdminFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>AdminFilter</filter-name>
<!--
需要拦截的路径,/ 表示localhost:8080/工程名/
因此,/admin/* 就表示 localhost:8080/工程名/admin下的所有文件
本例子不能只用/admin,否则他不会拦截对 /admin下的文件的访问
-->
<url-pattern>/admin/*</url-pattern>
</filter-mapping>启动服务器后,直接使用以下路径会被拦截,并通过请求转发跳到我们的index.jsp页面。
那,我们怎么跨过这个拦截呢?
其实很简单,针对以上的代码,只需要在Session中有一个非空的username就可以啦!
来来来,代码走你!
先写一个Servlet程序——LoginServlet.java:
package com.hstc.servlet;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
public class LoginServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
resp.setContentType("text/html; charset=UTF-8");
//获取input标签的用户名和密码
String username = req.getParameter("username");
String password = req.getParameter("password");
//验证账号密码的准确性
if (username.equals("Keeling") && password.equals("123456")){
//获取Session
HttpSession session = req.getSession();
//保存username的值到session域
session.setAttribute("username",username);
//在页面给个提示
resp.getWriter().write("登录成功");
}else {
//账号密码验证失败,请求转发到/login.jsp路径
req.getRequestDispatcher("/login.jsp").forward(req,resp);
}
}
}然后我们在web.xml中注册Servlet
<servlet>
<servlet-name>LoginSession</servlet-name>
<servlet-class>com.hstc.servlet.LoginServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>LoginSession</servlet-name>
<url-pattern>/login</url-pattern>
</servlet-mapping>再修改我们的index.jsp文件,添加一个登陆的接口
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>登录页面</title>
</head>
<body>
<h1>我是登录页面</h1>
<form action="http://localhost:8080/filter/login" method="get">
用户名:<input type="text" name="username"><br>
密 码:<input type="password" name="password"><br>
<input type="submit" value="登录">
</form>
</body>
</html>然后我们重启服务器并输入正确的账号密码:
出现以下页面表示登陆成功
之后就可以肆无忌惮地反问/admin下的内容了:
当然,如果这个session过时了,那就得重新登陆之后才可以再次访问这个admin路径下的内容了。
二、Filter的生命周期
Filter的生命周期包含几个方法:
1、构造器方法(服务器启动就调用)
2、init初始化方法(服务器启动就调用)
3、doFilter方法(当输入拦截地址的时候调用)
4、destroy销毁方法(关闭服务器的时候调用)
来个例子:
package com.hstc.filter;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.io.IOException;
public class AdminFilter implements Filter {
public AdminFilter() {
System.out.println("Filter的构造器方法");
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("Filter的init方法");
}
/**
* doFilter方法,专门用于拦截请求,可以用来做权限检查
* @param servletRequest
* @param servletResponse
* @param filterChain
* @throws IOException
* @throws ServletException
*/
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("Filter的doFilter方法");
//强制转换,用来获取Session对象
HttpServletRequest req = (HttpServletRequest) servletRequest;
//获取session对象
HttpSession session = req.getSession();
//获取用户名
Object username = session.getAttribute("username");
//如果用户名为空,那么返回登录页面
if (username == null){
//请求转发
servletRequest.getRequestDispatcher("/login.jsp").forward(servletRequest,servletResponse);
return;
}else {
//让程序正常访问(给权限)
filterChain.doFilter(servletRequest,servletResponse);
}
}
@Override
public void destroy() {
System.out.println("Filter的destroy方法");
}
}启动服务器会自动调用构造器和init方法:
登录被拦截的路径的时候,会调用doFilter方法
这里之所以有多个是因为我在当前页面刷新了几下,强调一下每次拦截都需要调用doFilter方法。
destroy方法在关闭web工程的时候才会关闭:
三、FilterConfig类的介绍
FilterConfig类顾名思义就是Filter类的配置信息类。
Tomcat每次在创建Filter的时候,也会同时新建一个FilterConfig类。
作用:获取Filter过滤器的配置内容,具体大致如下
- 获取Filter的名称 filter-name的内容
- 获取Filter中配置的init-param 初始化参数
- 获取ServletContext对象
代码演示:
现在web.xml中修改原先的filter标签内容如下:
<filter>
<filter-name>AdminFilter</filter-name>
<filter-class>com.hstc.filter.AdminFilter</filter-class>
<!--添加两个参数-->
<init-param>
<param-name>username</param-name>
<param-value>Keeling</param-value>
</init-param>
<init-param>
<param-name>password</param-name>
<param-value>123456</param-value>
</init-param>
</filter>然后修改AdminFilter.java类的init方法如下:
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("Filter的init方法");
/*获取Filter的filter-name的值*/
String filterName = filterConfig.getFilterName();
System.out.println("FilterName的值是:"+filterName);
/*获取filter标签中init-param的值*/
String username = filterConfig.getInitParameter("username");
System.out.println("Filter中初始化参数username的值是:"+username);
/*获取ServletContext对象*/
ServletContext servletContext = filterConfig.getServletContext();
System.out.println("获取得到的ServletContext对象:"+servletContext);
}运行服务器显示如下:
四、FilterChain类(过滤器链)
主要用来处理多个过滤器一起工作。
底层工作原理如下图所示:
知识点:
1、系统怎么知道先看哪个过滤器呢?
答:根据web.xml中 filter 标签的前后顺序,就是这么简单粗暴。
2、多个Filter过滤器执行的时候,所有的Filter和目标资源默认在同一个线程,且使用相同的request和response对象。(看doFilter( )方法传过去的参数其实就可以知道)
五、Filter过滤器的三种拦截方式
记住,Filter过滤器只关心请求的地址是否匹配,不关心资源是否存在。
5.1 精确匹配
只拦截localhost:8080/工程名/index.jsp,对Filter的配置如下:
<url-pattern>/index.jsp</url-pattern>5.2 目录匹配
拦截对localhost:8080/工程名/admin/ 目录下所有文件的访问。
<url-pattern>/admin/*</url-pattern>5.3 后缀名匹配
拦截所有对 .jsp 结尾的文件的访问。
<url-pattern>*.jsp</url-pattern>这个后缀名当然也可以使其他的,你乱写的都行,但不建议这么做就是了
