javaWeb之过滤器
Fileter介绍
- Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器治理的所有web资源:例如Jsp, Servlet, 动态图片文件或动态 html 文件等进行拦挡,从而实现一些非凡的性能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级性能。
- Servlet API中提供了一个Filter接口,开发web利用时,如果编写的Java类实现了这个接口,则把这个java类称之为过滤器Filter。通过Filter技术,开发人员能够实现用户在拜访某个指标资源之前,对拜访的申请和响应进行拦挡。
Filter如何实现拦挡
- Filter接口中有一个
doFilter办法
,当开发人员编写好Filter,并配置对哪个web资源(拦挡url)进行拦挡后,WEB服务器每次在调用web资源之前,都会先调用一下filter的doFilter办法,因而,在该办法内编写代码可达到如下目标:
- web服务器在调用doFilter办法时,会传递一个filterChain对象进来,filterChain对象是filter接口中最重要的一个对象,它也提供了一个doFilter办法,开发人员能够依据需要决定是否调用此办法,调用该办法,则web服务器就会调用web资源的service办法,即web资源就会被拜访,否则web资源不会被拜访。
- 调用指标资源之前,让一段代码执行
- 是否调用指标资源(即是否让用户拜访web资源)。
- 调用指标资源之后,让一段代码执行
开发Fileter步骤
- Filter开发分为三个步骤:
- 编写java类实现Filter接口,
- 实现(三个办法)其doFilter办法。
- 在 web.xml 文件中应用<filter>和<filter-mapping>元素对编写的filter类进行注册,并设置它所能拦挡的资源。
Filter链 — FilterChain
- 在一个web利用中,能够开发编写多个Filter,这些Filter组合起来称之为一个Filter链。
- web服务器依据Filter在web.xml文件中的注册程序<mapping>,决定先调用哪个Filter,当第一个Filter的doFilter办法被调用时,web服务器会创立一个代表Filter链的FilterChain对象传递给该办法。在doFilter办法中,开发人员如果调用了FilterChain对象的doFilter办法,则web服务器会查看FilterChain对象中是否还有filter,如果有,则调用第2个filter,如果没有,则调用指标资源。
- Filter链试验(查看filterChain API文档)
Filter的生命周期
- init(FilterConfig filterConfig)throws ServletException
- 和咱们编写的Servlet程序一样,Filter的创立和销毁由WEB服务器负责。 web 应用程序启动时,web 服务器将创立Filter 的实例对象,并调用其init办法进行初始化(注:filter对象只会创立一次,init办法也只会执行一次。示例 )
- 开发人员通过init办法的参数,可取得代表以后filter配置信息的FilterConfig对象。(filterConfig对象见下页PPT)
- doFilter(ServletRequest,ServletResponse,FilterChain)
- 每次filter进行拦挡都会执行
- 在理论开发中办法中参数request和response通常转换为HttpServletRequest和HttpServletResponse类型进行操作
- destroy()
- 在Web容器卸载 Filter 对象之前被调用。
FilterConfig接口
- 用户在配置filter时,能够应用
<init-param>
为filter配置一些初始化参数,当web容器实例化Filter对象,调用其init办法时,会把封装了filter初始化参数的filterConfig对象传递进来。因而开发人员在编写filter时,通过filterConfig对象的办法,就可取得:
- String getFilterName():失去filter的名称。
- String getInitParameter(String name): 返回在部署形容中指定名称的初始化参数的值。如果不存在返回null。
- Enumeration getInitParameterNames():返回过滤器的所有初始化参数的名字的枚举汇合。
- public ServletContext getServletContext():返回Servlet上下文对象的援用。
注册与映射Filter
注册
<filter>
<filter-name>testFitler</filter-name>
<filter-class>org.test.TestFiter</filter-class>
<init-param>
<param-name>word_file</param-name>
<param-value>/WEB-INF/word.txt</param-value>
</init-param>
</filter>
- <filter-name>用于为过滤器指定一个名字,该元素的内容不能为空。
- <filter-class>元素用于指定过滤器的残缺的限定类名。
- <init-param>元素用于为过滤器指定初始化参数,它的子元素<param-name>指定参数的名字
- <param-value>指定参数的值。在过滤器中,能够应用FilterConfig接口对象来拜访初始化参数。
映射Filter
- 映射Filter示例
<filter-mapping>
<filter-name>testFilter</filter-name>
<url-pattern>/index.jsp</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
- <filter-mapping>元素用于设置一个 Filter 所负责拦挡的资源。一个Filter拦挡的资源可通过两种形式来指定:Servlet 名称和资源拜访的申请门路
- <filter-name>子元素用于设置filter的注册名称。该值必须是在<filter>元素中申明过的过滤器的名字
- <url-pattern>设置 filter 所拦挡的申请门路(过滤器关联的URL款式)
- 目录匹配 /a/,/ 要求必须以/开始。
- 扩展名匹配 .do,.action 要求,不能以/开始,以*.xxx完结。
- 1 . 齐全匹配 必须以/开始。
- 2 . 能够应用
*
通配符。
- <servlet-name>指定过滤器所拦挡的Servlet名称。
- <dispatcher>指定过滤器所拦挡的资源被 Servlet 容器调用的形式,能够是REQUEST,INCLUDE,FORWARD和ERROR之一,默认REQUEST。用户能够设置多个<dispatcher> 子元素用来指定 Filter 对资源的多种调用形式进行拦挡。
- <dispatcher> 子元素能够设置的值及其意义:
- REQUEST:当用户间接拜访页面时,Web容器将会调用过滤器。如果指标资源是通过 RequestDispatcher 的 include()或 forward()办法拜访时,那么该过滤器就不会被调用。
- INCLUDE:如果指标资源是通过 RequestDispatcher 的 include() 办法拜访时,那么该过滤器将被调用。除此之外,该过滤器不会被调用。
- FORWARD:如果指标资源是通过 RequestDispatcher 的 forward()办法拜访时,那么该过滤器将被调用,除此之外,该过滤器不会被调用。
- ERROR:如果指标资源是通过申明式异样解决机制调用时,那么该过滤器将被调用。除此之外,过滤器不会被调用。
Filter示例
示例1:全站对立字符编码过滤器
- 通过配置参数encoding指明应用何种字符编码,以解决Html Form申请参数的中文问题
- 编写jsp 输出用户名,在Servlet中获取用户名,将用户名输入到浏览器上
- 解决申请post乱码代码
- request.setCharacterEncoding(“utf-8”);
- 设置响应编码集代码
- response.setContentType(“text/html;charset=utf-8”);
- 常常会应用,而过滤器能够在指标资源之前执行,将很多程序中解决乱码公共代码,提取到过滤器中,当前程序中不须要解决编码问题了
public class EncodingFilter implements Filter {
private String encode;
public void destroy() {
}
public void doFilter(ServletRequest arg0, ServletResponse arg1,
FilterChain chain) throws IOException, ServletException {
// 1.强制转换
HttpServletRequest request = (HttpServletRequest) arg0;
HttpServletResponse response = (HttpServletResponse) arg1;
// 2.操作
request.setCharacterEncoding(encode);
// 3.放行
chain.doFilter(request, response);
}
public void init(FilterConfig config) throws ServletException {
this.encode = config.getInitParameter(“encode”);
}
}
<!– post编码过滤器 –>
<filter>
<filter-name>encodingFilter</filter-name>
<filter-class>cn.itcast.filter.demo1.EncodingFilter</filter-class>
<init-param>
<param-name>encode</param-name>
<param-value>utf-8</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>encodingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
示例2禁用所有JSP页面缓存
- 因为动静页面数据,是由程序生成的,所以如果有缓存,就会产生,客户端查看数据不是最新数据状况 ,对于动静程序生成页面,设置浏览器端禁止缓存页面内容
- 有 3 个 HTTP 响应头字段都能够禁止浏览器缓存以后页面,它们在 Servlet 中的示例代码如下:
- response.setDateHeader(“Expires”,-1);
- response.setHeader(“Cache-Control”,”no-cache”);
- response.setHeader(“Pragma”,”no-cache”);
- 并不是所有的浏览器都能齐全反对下面的三个响应头,因而最好是同时应用下面的三个响应头。
- Expires数据头:值为GMT工夫值,为-1指浏览器不要缓存页面
- Cache-Control响应头有两个罕用值:
- no-cache指浏览器不要缓存以后页面。
- max-age:xxx指浏览器缓存页面xxx秒。
- 将禁用缓存代码,提起到过滤器中,通过url配置,禁用所有JSP页面的缓存
public class CacheFilter implements Filter{
public void destroy() {
}
public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain chain) throws IOException, ServletException {
// 1.强制转换
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) resp;
// 2.操作
response.setHeader(“pragma”, “no-cache”);
response.setHeader(“cache-control”, “no-cache”);
response.setDateHeader(“expires”, 0);
// 3.放行
chain.doFilter(request, response);
}
public void init(FilterConfig filterConfig) throws ServletException {
}
}
<filter>
<filter-name>cacheFilter</filter-name>
<filter-class>cn.itcast.filter.demo2.CacheFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>cacheFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
示例3设置图片过期工夫
- 管制浏览器缓存页面中的动态资源的过滤器:
- 场景:有些动静页面中援用了一些图片或css文件以润饰页面成果,这些图片和css文件常常是不变动的,所以为加重服务器的压力,能够应用filter管制浏览器缓存这些文件,以晋升服务器的性能。
- Tomcat缓存策略
- 对于服务器端常常不变动文件,设置客户端缓存工夫,在客户端资源缓存工夫到期之前,就不会去拜访服务器获取该资源 ——– 比tomcat内置缓存策略更优伎俩
- 缩小服务器申请次数,晋升性能
- 设置动态资源缓存工夫,须要设置 Expires 过期工夫 ,在客户端资源没有过期之前,不会产生对该资源的申请的
- 设置Expires 通常应用 response.setDateHeader 进行设置 设置毫秒值
public class ImageCacheFilter implements Filter {
public void destroy() {
}
public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain chain) throws IOException, ServletException {
// 1.强制转换
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) resp;
// 2.操作
response.setDateHeader(“expires”, System.currentTimeMillis()+606024101000);//缓存10天
// 3.放行
chain.doFilter(request, response);
}
public void init(FilterConfig filterConfig) throws ServletException {
}
}
<filter>
<filter-name>cacheFilter</filter-name>
<filter-class>cn.itcast.filter.demo2.CacheFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>imageFilter</filter-name>
<url-pattern>*.bmp</url-pattern>
</filter-mapping>
示例4主动登录案例(MD5加密)
- 阐明:在拜访一个站点,登陆时勾选主动登陆(三个月内不必登陆),操作系统后,敞开浏览器;过几天再次拜访该站点时,间接进行登陆后状态。
- 要求:实现用户主动登陆的过滤器
- 在用户登陆胜利后,以cookis模式发送用户名、明码给客户端
- 编写一个过滤器,filter办法中查看cookie中是否带有用户名、明码信息,如果存在则调用业务层登陆办法,登陆胜利后则向session中存入user对象(即用户登陆标记),以实现程序实现主动登陆。
- 在数据库中创立 user表
create table user (
id int primary key auto_increment,
username varchar(20),
password varchar(40),
role varchar(10)
);
insert into user values(null,’admin’,’123′,’admin’);
insert into user values(null,’aaa’,’123′,’user’);
insert into user values(null,’bbb’,’123′,’user’);
- 实现主动登录原理:
- 在用户实现登陆后,勾选主动登陆复选框,服务器端将用户名和明码 以Cookie模式,保留在客户端 。当用户下次访问该站点,AutoLoginFilter 过滤器从Cookie中获取 主动登陆信息
- 1、登录胜利后,判断是否勾选了主动登录。
- 2、如果勾线了主动登录,将用户名与明码贮存到cookie中。
- 3、做一个Filter,它拦挡所有申请,当拜访资源时,咱们从cookie中获取用户名与明码,进行登录操作。
- 在LoginServlet中次要工作
- 如果登录胜利后,判断是否勾选了主动登录,如果勾选了,将用户名与明码存储到cookie中。
if(“ok”.equals(autologin)){
Cookie cookie = new Cookie(“autologin”,URLEncoder.encode(username,”utf-8″)+”::”+password);
cookie.setMaxAge(606024*10);
cookie.setPath(“/”);
response.addCookie(cookie);
}
- 创立一个AutoLoginFilter进行主动登录操作
- Cookie cookie = CookieUtils.findCookieByName(request.getCookies(),”autologin”);
- 失去autologin这个cookie
- 失去username与password进行登录操作
if(cookie != null){
String username = URLDecoder.decode(cookie.getValue().split(“::”)[0],”utf-8″);
String password = cookie.getValue().split(“::”)[1];
UserService service = new UserService();
User user;
try {
user = service.login(username, password);
if(user != null){
request.getSession().setAttribute(“user”, user);
response.sendRedirect(request.getContextPath()
+ “/demo4/success.jsp”);
return;
}
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
- 如果将用户明码保留在cookie文件中,十分不平安的 ,通常状况下明码须要加密后能力保留到客户端
- 应用md5算法对明码进行加密
- md5 加密算法是一个单向加密算法 ,反对明文—密文 不反对密文解密
- MySQL数据库中提供md5 函数,能够实现md5 加密
- mysql> select md5(‘123’);
- 将数据表中所有明码 变为密文 update user set password = md5(password) ;
- Java中提供类 MessageDigest 实现MD5加密
- MD5加密算法
/**
* 应用md5的算法进行加密
*/
public static String md5(String plainText) {
byte[] secretBytes = null;
try {
secretBytes = MessageDigest.getInstance(“md5”).digest(
plainText.getBytes());
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(“没有md5这个算法!”);
}
String md5code = new BigInteger(1, secretBytes).toString(16);
for (int i = 0; i < 32 – md5code.length(); i++) {
md5code = “0” + md5code;
}
return md5code;
示例5 URL级别的权限管制
- 应用Filter实现URL级别的权限认证
- 情景:在理论开发中咱们常常把一些执行敏感操作的servlet映射到一些非凡目录中,并用filter把这些非凡目录爱护起来,限度只能领有相应拜访权限的用户能力拜访这些目录下的资源。从而在咱们零碎中实现一种URL级别的权限性能。
- 要求:为使Filter具备通用性,Filter爱护的资源和相应的拜访权限通过filter参数的模式予以配置。
- 问题1:怎么判断哪些资源须要权限,哪些资源不须要权限?
//admin.properites
url=/book_add,/book_delete,/book_update,/book_search
//user.properites
url=/book_search
String uri = request.getRequestURI();
String contextPath = request.getContextPath();
String path = uri .substring(contextPath.length());
if(admins.contains(path) || users.contains(path)){
User user = (User) request.getSession().getAttribute(“user”);
if(user == null){
throw new PrivilegeException();
}
public void init(FilterConfig arg0) throws ServletException {
this.admins = new ArrayList<String>();
this.users = new ArrayList<String>();
fillPath(“user”,users);
fillPath(“admin”,admins);
}
private void fillPath(String baseName,List<String>list){
ResourceBundle bundle = ResourceBundle.getBundle(baseName);
String path = bundle.getString(“url”);
String[] paths = path.split(“,”);
for(String p : paths){
list.add(p);
}
}
- 问题2:咱们的用户是有role的,如果是admin角色,如何限度权限,如果是user角色如何限度权限?
if(“admin”.equals(user.getRole())){
if(!(admins.contains(path))){
throw new PrivilegeException();
}
}
else {
if(!(users.contains(path))){
throw new PrivilegeException();
}
}
示例6 通用get和post乱码过滤器
- 因为开发人员在filter中能够失去代表用户申请和响应的request、response对象,因而在编程中能够应用Decorator(装璜器)模式对request、response对象进行包装,再把包装对象传给指标资源,从而实现一些非凡需要。
- Decorator模式
- 1、包装类须要和被包装对象 实现雷同接口,或者继承雷同父类
- 2、包装类须要持有 被包装对象的援用
- 在包装类中定义成员变量,通过包装类构造方法,传入被包装对象
- 3、在包装类中,能够管制原来那些办法须要增强不须要增强 ,调用被包装对象的办法须要增强,编写加强代码逻辑
- Decorator设计模式的实现
- 1.首先看须要被加强对象继承了什么接口或父类,编写一个类也去继承这些接口或父类。
- 2.在类中定义一个变量,变量类型即需加强对象的类型。
- 3.在类中定义一个构造函数,接管需加强的对象。
- 4.笼罩需加强的办法,编写加强的代码。
request对象的加强
- Servlet API 中提供了一个request对象的Decorator设计模式的默认实现类HttpServletRequestWrapper
- HttpServletRequestWrapper 类实现了request 接口中的所有办法,但这些办法的外部实现都是仅仅调用了一下所包装的的 request 对象的对应办法,以防止用户在对request对象进行加强时须要实现request接口中的所有办法。
- 应用Decorator模式包装request对象,齐全解决get、post申请形式下的乱码问题
- ServletRequestWrapper 和 HttpServletRequestWrapper 提供对request对象进行包装的办法,然而默认状况下每个办法都是调用原来request对象的办法,也就是说包装类并没有对request进行加强
- 在这两个包装类根底上,继承HttpServletRequestWrapper ,笼罩须要加强的办法即可
- 零碎中存在很多资源,将须要进行权限管制的资源,放入非凡门路中,编写过滤器治理拜访非凡门路的申请,如果没有相应身份和权限,管制无法访问
- 在Filter中,对request对象进行包装,加强取得参数的办法
- getParameter
- getParameterValues
- getParameterMap
public class EncodingFilter implements Filter{
@Override
public void destroy() {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) resp;
HttpServletRequest myrequest = new MyRequest(request);
response.setContentType(“text/html;charset=utf-8”);
chain.doFilter(myrequest, response);
}
@Override
public void init(FilterConfig arg0) throws ServletException {
// TODO Auto-generated method stub
}
}
class MyRequest extends HttpServletRequestWrapper{
private HttpServletRequest request;
public MyRequest(HttpServletRequest request){
super(request);
this.request=request;
}
public String getParameter(String name){
Map<String,String[]> map = getParameterMap();
if(name == null){
return null;
}
String[] st = map.get(name);
if(st ==null || st.length==0){
return null;
}
return st[0];
}
private boolean flag = true;
public Map getParaMap(){
Map<String,String[]> map = request.getParameterMap();
if(flag){
for(String key : map.keySet()){
String[] values = map.get(key);
for(int i = 0;i<values.length;i++){
try {
values[i] = new String(values[i].getBytes(“iso8859-1″),”utf-8”);
} catch (UnsupportedEncodingException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
flag = false;
}
return map;
}
}
response对象的加强
- Servlet API 中提供了response对象的Decorator设计模式的默认实现类HttpServletResponseWrapper , (HttpServletResponseWrapper类实现了response接口中的所有办法,但这些办法的外部实现都是仅仅调用了一下所包装的的 response对象的对应办法)以防止用户在对response对象进行加强时须要实现response接口中的所有办法。
- ServletResponseWrapper 和HttpServletResponseWrapper 提供了对response 对象包装,继承 HttpServletResponseWrapper ,笼罩须要加强response的办法
- response加强案例—压缩响应
- 通过filter向指标页面传递一个自定义的response对象。
- 当页面实现输入后,在filter中就可失去页面写出的数据,从而咱们能够调用GzipOuputStream对数据进行压缩后再写出给浏览器,以此实现响应正文件压缩性能。
- 在自定义的response对象中,重写getOutputStream办法和getWriter办法,使指标资源调用此办法输入页面内容时,取得的是咱们自定义的ServletOutputStream对象。
- 在咱们自定义的ServletOuputStream对象中,重写write办法,使写出的数据写出到一个buffer中。
- 利用HttpServletResponseWrapper对象,压缩响应注释内容。
发表回复