共计 13772 个字符,预计需要花费 35 分钟才能阅读完成。
javaWeb 之过滤器
Fileter 介绍
- Filter 也称之为过滤器,它是 Servlet 技术中最实用的技术,WEB 开发人员通过 Filter 技术,对 web 服务器治理的所有 web 资源:例如 Jsp, Servlet, 动态图片文件或动态 html 文件等进行拦挡,从而实现一些非凡的性能。例如实现 URL 级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级性能。
- Servlet API 中提供了一个 Filter 接口,开发 web 利用时,如果编写的 Java 类实现了这个接口,则把这个 java 类 称之为过滤器 Filter。通过 Filter 技术,开发人员能够实现用户在拜访某个指标资源之前,对拜访的申请和响应进行拦挡。
Filter 如何实现拦挡
- Filter 接口中有一个
doFilter 办法
,当开发人员编写好 Filter,并配置对哪个 web 资源 (拦挡 url) 进行拦挡后,WEB 服务器每次在调用 web 资源之前,都会先调用一下 filter 的 doFilter 办法,因而,在该办法内编写代码可达到如下目标:
- web 服务器在调用 doFilter 办法时,会传递一个 filterChain 对象进来,filterChain对象是 filter 接口中最重要的一个对象,它也提供了一个 doFilter 办法,开发人员能够依据需要决定是否调用此办法,调用该办法,则 web 服务器就会调用 web 资源的 service 办法,即 web 资源就会被拜访,否则 web 资源不会被拜访。
- 调用指标资源之前,让一段代码执行
- 是否调用指标资源(即是否让用户拜访 web 资源)。
- 调用指标资源之后,让一段代码执行
开发 Fileter 步骤
- Filter 开发分为三个步骤:
- 编写 java 类实现 Filter 接口,
- 实现 (三个办法) 其 doFilter 办法。
- 在 web.xml 文件中应用 <filter> 和 <filter-mapping> 元素对编写的 filter 类进行注册,并设置它所能拦挡的资源。
Filter 链 — FilterChain
- 在一个 web 利用中,能够开发编写多个 Filter,这些 Filter 组合起来称之为一个 Filter 链。
- web 服务器依据 Filter 在 web.xml 文件中的 注册程序<mapping>,决定先调用哪个 Filter,当第一个 Filter 的 doFilter 办法被调用时,web 服务器会创立一个代表 Filter 链的 FilterChain 对象传递给该办法。在 doFilter 办法中,开发人员如果调用了 FilterChain 对象的 doFilter 办法,则 web 服务器会查看 FilterChain 对象中是否还有 filter,如果有,则调用第 2 个 filter,如果没有,则调用指标资源。
- Filter 链试验(查看 filterChain API 文档)
Filter 的生命周期
- init(FilterConfig filterConfig)throws ServletException
- 和咱们编写的 Servlet 程序一样,Filter 的创立和销毁由 WEB 服务器负责。web 应用程序启动时,web 服务器将创立 Filter 的实例对象,并调用其 init 办法进行初始化(注:filter 对象只会创立一次,init 办法也只会执行一次。示例)
- 开发人员通过 init 办法的参数,可取得代表以后 filter 配置信息的 FilterConfig 对象。(filterConfig 对象见下页 PPT)
- doFilter(ServletRequest,ServletResponse,FilterChain)
- 每次 filter 进行拦挡都会执行
- 在理论开发中办法中参数 request 和 response 通常转换为 HttpServletRequest 和 HttpServletResponse 类型进行操作
- destroy()
- 在 Web 容器卸载 Filter 对象之前被调用。
FilterConfig 接口
- 用户在配置 filter 时,能够应用
<init-param>
为 filter 配置一些初始化参数,当 web 容器实例化 Filter 对象,调用其 init 办法时,会把封装了 filter 初始化参数的 filterConfig 对象传递进来。因而开发人员在编写 filter 时,通过 filterConfig 对象的办法,就可取得:
- String getFilterName():失去filter 的名称。
- String getInitParameter(String name):返回在部署形容中 指定名称的初始化参数的值。如果不存在返回 null。
- Enumeration getInitParameterNames():返回过滤器的所有 初始化参数的名字 的枚举汇合。
- public ServletContext getServletContext():返回 Servlet上下文对象 的援用。
注册与映射 Filter
注册
<filter>
<filter-name>testFitler</filter-name>
<filter-class>org.test.TestFiter</filter-class>
<init-param>
<param-name>word_file</param-name>
<param-value>/WEB-INF/word.txt</param-value>
</init-param>
</filter>
- <filter-name> 用于为过滤器指定一个名字,该元素的内容不能为空。
- <filter-class> 元素用于指定过滤器的残缺的限定类名。
- <init-param> 元素用于为过滤器指定初始化参数,它的子元素 <param-name> 指定参数的名字
- <param-value> 指定参数的值。在过滤器中,能够应用 FilterConfig 接口对象来拜访初始化参数。
映射 Filter
- 映射 Filter 示例
<filter-mapping>
<filter-name>testFilter</filter-name>
<url-pattern>/index.jsp</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
- <filter-mapping> 元素用于设置一个 Filter 所负责拦挡的资源。一个 Filter 拦挡的资源可通过两种形式来指定:Servlet 名称和资源拜访的申请门路
- <filter-name> 子元素用于设置 filter 的注册名称。该值必须是在 <filter> 元素中申明过的过滤器的名字
- <url-pattern> 设置 filter 所拦挡的申请门路(过滤器关联的 URL 款式)
- 目录匹配 /a/,/ 要求必须以 / 开始。
- 扩展名匹配 .do,.action 要求,不能以 / 开始,以 *.xxx 完结。
- 1 . 齐全匹配 必须以 / 开始。
- 2 . 能够应用
*
通配符。
- <servlet-name> 指定过滤器所拦挡的 Servlet 名称。
- <dispatcher> 指定过滤器所拦挡的资源被 Servlet 容器调用的形式,能够是 REQUEST,INCLUDE,FORWARD 和 ERROR 之一,默认 REQUEST。用户能够设置多个 <dispatcher> 子元素用来指定 Filter 对资源的多种调用形式进行拦挡。
- <dispatcher> 子元素能够设置的值及其意义:
- REQUEST:当用户间接拜访页面时,Web 容器将会调用过滤器。如果指标资源是通过 RequestDispatcher 的 include()或 forward()办法拜访时,那么该过滤器就不会被调用。
- INCLUDE:如果指标资源是通过 RequestDispatcher 的 include() 办法拜访时,那么该过滤器将被调用。除此之外,该过滤器不会被调用。
- FORWARD:如果指标资源是通过 RequestDispatcher 的 forward()办法拜访时,那么该过滤器将被调用,除此之外,该过滤器不会被调用。
- ERROR:如果指标资源是通过 申明式异样解决机制 调用时,那么该过滤器将被调用。除此之外,过滤器不会被调用。
Filter 示例
示例 1:全站对立字符编码过滤器
- 通过配置参数 encoding 指明应用何种字符编码, 以解决 Html Form 申请参数的中文问题
- 编写 jsp 输出用户名,在 Servlet 中获取用户名,将用户名输入到浏览器上
- 解决申请 post 乱码代码
- request.setCharacterEncoding(“utf-8”);
- 设置响应编码集代码
- response.setContentType(“text/html;charset=utf-8”);
- 常常会应用,而过滤器能够在指标资源之前执行,将很多程序中解决乱码公共代码,提取到过滤器中,当前程序中不须要解决编码问题了
public class EncodingFilter implements Filter {
private String encode;
public void destroy() {
}
public void doFilter(ServletRequest arg0, ServletResponse arg1,
FilterChain chain) throws IOException, ServletException {
// 1. 强制转换
HttpServletRequest request = (HttpServletRequest) arg0;
HttpServletResponse response = (HttpServletResponse) arg1;
// 2. 操作
request.setCharacterEncoding(encode);
// 3. 放行
chain.doFilter(request, response);
}
public void init(FilterConfig config) throws ServletException {
this.encode = config.getInitParameter(“encode”);
}
}
<!– post 编码过滤器 –>
<filter>
<filter-name>encodingFilter</filter-name>
<filter-class>cn.itcast.filter.demo1.EncodingFilter</filter-class>
<init-param>
<param-name>encode</param-name>
<param-value>utf-8</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>encodingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
示例 2 禁用所有 JSP 页面缓存
- 因为动静页面数据,是由程序生成的,所以如果有缓存,就会产生,客户端查看数据不是最新数据状况,对于动静程序生成页面,设置浏览器端禁止缓存页面内容
- 有 3 个 HTTP 响应头字段都能够禁止浏览器缓存以后页面,它们在 Servlet 中的示例代码如下:
- response.setDateHeader(“Expires”,-1);
- response.setHeader(“Cache-Control”,”no-cache”);
- response.setHeader(“Pragma”,”no-cache”);
- 并不是所有的浏览器都能齐全反对下面的三个响应头,因而最好是同时应用下面的三个响应头。
- Expires 数据头:值为 GMT 工夫值,为 - 1 指浏览器不要缓存页面
- Cache-Control 响应头有两个罕用值:
- no-cache 指浏览器不要缓存以后页面。
- max-age:xxx 指浏览器缓存页面 xxx 秒。
- 将禁用缓存代码,提起到过滤器中,通过 url 配置,禁用所有 JSP 页面的缓存
public class CacheFilter implements Filter{
public void destroy() {
}
public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain chain) throws IOException, ServletException {
// 1. 强制转换
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) resp;
// 2. 操作
response.setHeader(“pragma”, “no-cache”);
response.setHeader(“cache-control”, “no-cache”);
response.setDateHeader(“expires”, 0);
// 3. 放行
chain.doFilter(request, response);
}
public void init(FilterConfig filterConfig) throws ServletException {
}
}
<filter>
<filter-name>cacheFilter</filter-name>
<filter-class>cn.itcast.filter.demo2.CacheFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>cacheFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
示例 3 设置图片过期工夫
- 管制浏览器缓存页面中的动态资源的过滤器:
- 场景:有些动静页面中援用了一些图片或 css 文件以润饰页面成果,这些图片和 css 文件常常是不变动的,所以为加重服务器的压力,能够应用 filter 管制浏览器缓存这些文件,以晋升服务器的性能。
- Tomcat 缓存策略
- 对于服务器端常常不变动文件,设置客户端缓存工夫,在客户端资源缓存工夫到期之前,就不会去拜访服务器获取该资源 ——– 比 tomcat 内置缓存策略更优伎俩
- 缩小服务器申请次数,晋升性能
- 设置动态资源缓存工夫,须要设置 Expires 过期工夫,在客户端资源没有过期之前,不会产生对该资源的申请的
- 设置 Expires 通常应用 response.setDateHeader 进行设置 设置毫秒值
public class ImageCacheFilter implements Filter {
public void destroy() {
}
public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain chain) throws IOException, ServletException {
// 1. 强制转换
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) resp;
// 2. 操作
response.setDateHeader(“expires”, System.currentTimeMillis()+606024101000);// 缓存 10 天
// 3. 放行
chain.doFilter(request, response);
}
public void init(FilterConfig filterConfig) throws ServletException {
}
}
<filter>
<filter-name>cacheFilter</filter-name>
<filter-class>cn.itcast.filter.demo2.CacheFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>imageFilter</filter-name>
<url-pattern>*.bmp</url-pattern>
</filter-mapping>
示例 4 主动登录案例(MD5 加密)
- 阐明:在拜访一个站点,登陆时勾选主动登陆(三个月内不必登陆),操作系统后,敞开浏览器;过几天再次拜访该站点时,间接进行登陆后状态。
- 要求:实现用户主动登陆的过滤器
- 在用户登陆胜利后,以 cookis 模式发送用户名、明码给客户端
- 编写一个过滤器,filter 办法中查看 cookie 中是否带有用户名、明码信息,如果存在则调用业务层登陆办法,登陆胜利后则向 session 中存入 user 对象(即用户登陆标记),以实现程序实现主动登陆。
- 在数据库中创立 user 表
create table user (
id int primary key auto_increment,
username varchar(20),
password varchar(40),
role varchar(10)
);
insert into user values(null,’admin’,’123′,’admin’);
insert into user values(null,’aaa’,’123′,’user’);
insert into user values(null,’bbb’,’123′,’user’);
- 实现主动登录原理:
- 在用户实现登陆后,勾选主动登陆复选框,服务器端将用户名和明码 以 Cookie 模式,保留在客户端。当用户下次访问该站点,AutoLoginFilter 过滤器从 Cookie 中获取 主动登陆信息
- 1、登录胜利后,判断是否勾选了主动登录。
- 2、如果勾线了主动登录,将用户名与明码贮存到 cookie 中。
- 3、做一个 Filter,它拦挡所有申请,当拜访资源时,咱们从 cookie 中获取用户名与明码,进行登录操作。
- 在 LoginServlet 中次要工作
- 如果登录胜利后,判断是否勾选了主动登录,如果勾选了,将用户名与明码存储到 cookie 中。
if(“ok”.equals(autologin)){
Cookie cookie = new Cookie(“autologin”,URLEncoder.encode(username,”utf-8″)+”::”+password);
cookie.setMaxAge(606024*10);
cookie.setPath(“/”);
response.addCookie(cookie);
}
- 创立一个 AutoLoginFilter 进行主动登录操作
- Cookie cookie = CookieUtils.findCookieByName(request.getCookies(),”autologin”);
- 失去 autologin 这个 cookie
- 失去 username 与 password 进行登录操作
if(cookie != null){
String username = URLDecoder.decode(cookie.getValue().split(“::”)[0],”utf-8″);
String password = cookie.getValue().split(“::”)[1];
UserService service = new UserService();
User user;
try {
user = service.login(username, password);
if(user != null){
request.getSession().setAttribute(“user”, user);
response.sendRedirect(request.getContextPath()
+ “/demo4/success.jsp”);
return;
}
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
- 如果将用户明码保留在 cookie 文件中,十分不平安的,通常状况下明码须要加密后能力保留到客户端
- 应用 md5 算法对明码进行加密
- md5 加密算法是一个单向加密算法,反对明文—密文 不反对密文解密
- MySQL 数据库中提供 md5 函数,能够实现 md5 加密
- mysql> select md5(‘123’);
- 将数据表中所有明码 变为密文 update user set password = md5(password) ;
- Java 中提供类 MessageDigest 实现 MD5 加密
- MD5 加密算法
/**
* 应用 md5 的算法进行加密
*/
public static String md5(String plainText) {
byte[] secretBytes = null;
try {
secretBytes = MessageDigest.getInstance(“md5”).digest(
plainText.getBytes());
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(“ 没有 md5 这个算法!”);
}
String md5code = new BigInteger(1, secretBytes).toString(16);
for (int i = 0; i < 32 – md5code.length(); i++) {
md5code = “0” + md5code;
}
return md5code;
示例 5 URL 级别的权限管制
- 应用 Filter 实现 URL 级别的权限认证
- 情景:在理论开发中咱们常常把一些执行敏感操作的 servlet 映射到一些非凡目录中,并用 filter 把这些非凡目录爱护起来,限度只能领有相应拜访权限的用户能力拜访这些目录下的资源。从而在咱们零碎中实现一种 URL 级别的权限性能。
- 要求:为使 Filter 具备通用性,Filter 爱护的资源和相应的拜访权限通过 filter 参数的模式予以配置。
- 问题 1:怎么判断哪些资源须要权限,哪些资源不须要权限?
//admin.properites
url=/book_add,/book_delete,/book_update,/book_search
//user.properites
url=/book_search
String uri = request.getRequestURI();
String contextPath = request.getContextPath();
String path = uri .substring(contextPath.length());
if(admins.contains(path) || users.contains(path)){
User user = (User) request.getSession().getAttribute(“user”);
if(user == null){
throw new PrivilegeException();
}
public void init(FilterConfig arg0) throws ServletException {
this.admins = new ArrayList<String>();
this.users = new ArrayList<String>();
fillPath(“user”,users);
fillPath(“admin”,admins);
}
private void fillPath(String baseName,List<String>list){
ResourceBundle bundle = ResourceBundle.getBundle(baseName);
String path = bundle.getString(“url”);
String[] paths = path.split(“,”);
for(String p : paths){
list.add(p);
}
}
- 问题 2:咱们的用户是有 role 的,如果是 admin 角色,如何限度权限,如果是 user 角色如何限度权限?
if(“admin”.equals(user.getRole())){
if(!(admins.contains(path))){
throw new PrivilegeException();
}
}
else {
if(!(users.contains(path))){
throw new PrivilegeException();
}
}
示例 6 通用 get 和 post 乱码过滤器
- 因为开发人员在 filter 中能够失去代表用户申请和响应的 request、response 对象,因而在编程中能够应用 Decorator(装璜器)模式对 request、response 对象进行包装,再把包装对象传给指标资源,从而实现一些非凡需要。
- Decorator 模式
- 1、包装类须要和被包装对象 实现雷同接口,或者继承雷同父类
- 2、包装类须要持有 被包装对象的援用
- 在包装类中定义成员变量,通过包装类构造方法,传入被包装对象
- 3、在包装类中,能够管制原来那些办法须要增强不须要增强,调用被包装对象的办法须要增强,编写加强代码逻辑
- Decorator 设计模式的实现
- 1. 首先看须要被加强对象继承了什么接口或父类,编写一个类也去继承这些接口或父类。
- 2. 在类中定义一个变量,变量类型即需加强对象的类型。
- 3. 在类中定义一个构造函数,接管需加强的对象。
- 4. 笼罩需加强的办法,编写加强的代码。
request 对象的加强
- Servlet API 中提供了一个 request 对象的 Decorator 设计模式的默认实现类 HttpServletRequestWrapper
- HttpServletRequestWrapper 类实现了 request 接口中的所有办法,但这些办法的外部实现都是仅仅调用了一下所包装的的 request 对象的对应办法, 以防止用户在对 request 对象进行加强时须要实现 request 接口中的所有办法。
- 应用 Decorator 模式包装 request 对象,齐全解决 get、post 申请形式下的乱码问题
- ServletRequestWrapper 和 HttpServletRequestWrapper 提供对 request 对象进行包装的办法,然而默认状况下每个办法都是调用原来 request 对象的办法,也就是说包装类并没有对 request 进行加强
- 在这两个包装类根底上,继承 HttpServletRequestWrapper,笼罩须要加强的办法即可
- 零碎中存在很多资源,将须要进行权限管制的资源,放入非凡门路中,编写过滤器治理拜访非凡门路的申请,如果没有相应身份和权限,管制无法访问
- 在 Filter 中,对 request 对象进行包装,加强取得参数的办法
- getParameter
- getParameterValues
- getParameterMap
public class EncodingFilter implements Filter{
@Override
public void destroy() {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) resp;
HttpServletRequest myrequest = new MyRequest(request);
response.setContentType(“text/html;charset=utf-8”);
chain.doFilter(myrequest, response);
}
@Override
public void init(FilterConfig arg0) throws ServletException {
// TODO Auto-generated method stub
}
}
class MyRequest extends HttpServletRequestWrapper{
private HttpServletRequest request;
public MyRequest(HttpServletRequest request){
super(request);
this.request=request;
}
public String getParameter(String name){
Map<String,String[]> map = getParameterMap();
if(name == null){
return null;
}
String[] st = map.get(name);
if(st ==null || st.length==0){
return null;
}
return st[0];
}
private boolean flag = true;
public Map getParaMap(){
Map<String,String[]> map = request.getParameterMap();
if(flag){
for(String key : map.keySet()){
String[] values = map.get(key);
for(int i = 0;i<values.length;i++){
try {
values[i] = new String(values[i].getBytes(“iso8859-1″),”utf-8”);
} catch (UnsupportedEncodingException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
flag = false;
}
return map;
}
}
response 对象的加强
- Servlet API 中提供了 response 对象的 Decorator 设计模式的默认实现类 HttpServletResponseWrapper,(HttpServletResponseWrapper 类实现了 response 接口中的所有办法,但这些办法的外部实现都是仅仅调用了一下所包装的的 response 对象的对应办法)以防止用户在对 response 对象进行加强时须要实现 response 接口中的所有办法。
- ServletResponseWrapper 和 HttpServletResponseWrapper 提供了对 response 对象包装,继承 HttpServletResponseWrapper,笼罩须要加强 response 的办法
- response 加强案例—压缩响应
- 通过 filter 向指标页面传递一个自定义的 response 对象。
- 当页面实现输入后,在 filter 中就可失去页面写出的数据,从而咱们能够调用 GzipOuputStream 对数据进行压缩后再写出给浏览器,以此实现响应正文件压缩性能。
- 在自定义的 response 对象中,重写 getOutputStream 办法和 getWriter 办法,使指标资源调用此办法输入页面内容时,取得的是咱们自定义的 ServletOutputStream 对象。
- 在咱们自定义的 ServletOuputStream 对象中,重写 write 办法,使写出的数据写出到一个 buffer 中。
- 利用 HttpServletResponseWrapper 对象,压缩响应注释内容。