关于java:我在上海乐字节学习的第二十一天持续更新中

58次阅读

共计 13772 个字符,预计需要花费 35 分钟才能阅读完成。

javaWeb 之过滤器

Fileter 介绍

  • Filter 也称之为过滤器,它是 Servlet 技术中最实用的技术,WEB 开发人员通过 Filter 技术,对 web 服务器治理的所有 web 资源:例如 Jsp, Servlet, 动态图片文件或动态 html 文件等进行拦挡,从而实现一些非凡的性能。例如实现 URL 级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级性能。
  • Servlet API 中提供了一个 Filter 接口,开发 web 利用时,如果编写的 Java 类实现了这个接口,则把这个 java 类 称之为过滤器 Filter。通过 Filter 技术,开发人员能够实现用户在拜访某个指标资源之前,对拜访的申请和响应进行拦挡。

Filter 如何实现拦挡

  • Filter 接口中有一个

    doFilter 办法

    ,当开发人员编写好 Filter,并配置对哪个 web 资源 (拦挡 url) 进行拦挡后,WEB 服务器每次在调用 web 资源之前,都会先调用一下 filter 的 doFilter 办法,因而,在该办法内编写代码可达到如下目标:

  • web 服务器在调用 doFilter 办法时,会传递一个 filterChain 对象进来,filterChain对象是 filter 接口中最重要的一个对象,它也提供了一个 doFilter 办法,开发人员能够依据需要决定是否调用此办法,调用该办法,则 web 服务器就会调用 web 资源的 service 办法,即 web 资源就会被拜访,否则 web 资源不会被拜访。
  • 调用指标资源之前,让一段代码执行
  • 是否调用指标资源(即是否让用户拜访 web 资源)。
  • 调用指标资源之后,让一段代码执行

开发 Fileter 步骤

  • Filter 开发分为三个步骤:
  • 编写 java 类实现 Filter 接口,
  • 实现 (三个办法) 其 doFilter 办法。
  • 在 web.xml 文件中应用 <filter> 和 <filter-mapping> 元素对编写的 filter 类进行注册,并设置它所能拦挡的资源。

Filter 链 — FilterChain

  • 在一个 web 利用中,能够开发编写多个 Filter,这些 Filter 组合起来称之为一个 Filter 链。
  • web 服务器依据 Filter 在 web.xml 文件中的 注册程序<mapping>,决定先调用哪个 Filter,当第一个 Filter 的 doFilter 办法被调用时,web 服务器会创立一个代表 Filter 链的 FilterChain 对象传递给该办法。在 doFilter 办法中,开发人员如果调用了 FilterChain 对象的 doFilter 办法,则 web 服务器会查看 FilterChain 对象中是否还有 filter,如果有,则调用第 2 个 filter,如果没有,则调用指标资源。
  • Filter 链试验(查看 filterChain API 文档)

Filter 的生命周期

  • init(FilterConfig filterConfig)throws ServletException
  • 和咱们编写的 Servlet 程序一样,Filter 的创立和销毁由 WEB 服务器负责。web 应用程序启动时,web 服务器将创立 Filter 的实例对象,并调用其 init 办法进行初始化(注:filter 对象只会创立一次,init 办法也只会执行一次。示例)
  • 开发人员通过 init 办法的参数,可取得代表以后 filter 配置信息的 FilterConfig 对象。(filterConfig 对象见下页 PPT)
  • doFilter(ServletRequest,ServletResponse,FilterChain)
  • 每次 filter 进行拦挡都会执行
  • 在理论开发中办法中参数 request 和 response 通常转换为 HttpServletRequest 和 HttpServletResponse 类型进行操作
  • destroy()
  • 在 Web 容器卸载 Filter 对象之前被调用。

FilterConfig 接口

  • 用户在配置 filter 时,能够应用

    <init-param>

    为 filter 配置一些初始化参数,当 web 容器实例化 Filter 对象,调用其 init 办法时,会把封装了 filter 初始化参数的 filterConfig 对象传递进来。因而开发人员在编写 filter 时,通过 filterConfig 对象的办法,就可取得:

  • String getFilterName():失去filter 的名称
  • String getInitParameter(String name):返回在部署形容中 指定名称的初始化参数的值。如果不存在返回 null。
  • Enumeration getInitParameterNames():返回过滤器的所有 初始化参数的名字 的枚举汇合。
  • public ServletContext getServletContext():返回 Servlet上下文对象 的援用。

注册与映射 Filter

注册

<filter>

         <filter-name>testFitler</filter-name>

         <filter-class>org.test.TestFiter</filter-class>

         <init-param>

             <param-name>word_file</param-name>    

             <param-value>/WEB-INF/word.txt</param-value>

         </init-param>

</filter>

  • <filter-name> 用于为过滤器指定一个名字,该元素的内容不能为空。
  • <filter-class> 元素用于指定过滤器的残缺的限定类名。
  • <init-param> 元素用于为过滤器指定初始化参数,它的子元素 <param-name> 指定参数的名字
  • <param-value> 指定参数的值。在过滤器中,能够应用 FilterConfig 接口对象来拜访初始化参数。

映射 Filter

  • 映射 Filter 示例

<filter-mapping>

    <filter-name>testFilter</filter-name>

   <url-pattern>/index.jsp</url-pattern>

   <dispatcher>REQUEST</dispatcher>

   <dispatcher>FORWARD</dispatcher>

</filter-mapping>

  • <filter-mapping> 元素用于设置一个 Filter 所负责拦挡的资源。一个 Filter 拦挡的资源可通过两种形式来指定:Servlet 名称和资源拜访的申请门路
  • <filter-name> 子元素用于设置 filter 的注册名称。该值必须是在 <filter> 元素中申明过的过滤器的名字
  • <url-pattern> 设置 filter 所拦挡的申请门路(过滤器关联的 URL 款式)
  • 目录匹配 /a/,/ 要求必须以 / 开始。
  • 扩展名匹配 .do,.action 要求,不能以 / 开始,以 *.xxx 完结。
  • 1 . 齐全匹配 必须以 / 开始。
  • 2 . 能够应用

    *

    通配符。

  • <servlet-name> 指定过滤器所拦挡的 Servlet 名称。
  • <dispatcher> 指定过滤器所拦挡的资源被 Servlet 容器调用的形式,能够是 REQUEST,INCLUDE,FORWARD 和 ERROR 之一,默认 REQUEST。用户能够设置多个 <dispatcher> 子元素用来指定 Filter 对资源的多种调用形式进行拦挡。
  • <dispatcher> 子元素能够设置的值及其意义:
  • REQUEST:当用户间接拜访页面时,Web 容器将会调用过滤器。如果指标资源是通过 RequestDispatcherinclude()或 forward()办法拜访时,那么该过滤器就不会被调用。
  • INCLUDE:如果指标资源是通过 RequestDispatcherinclude() 办法拜访时,那么该过滤器将被调用。除此之外,该过滤器不会被调用。
  • FORWARD:如果指标资源是通过 RequestDispatcherforward()办法拜访时,那么该过滤器将被调用,除此之外,该过滤器不会被调用。
  • ERROR:如果指标资源是通过 申明式异样解决机制 调用时,那么该过滤器将被调用。除此之外,过滤器不会被调用。

Filter 示例

示例 1:全站对立字符编码过滤器

  • 通过配置参数 encoding 指明应用何种字符编码, 以解决 Html Form 申请参数的中文问题
  • 编写 jsp 输出用户名,在 Servlet 中获取用户名,将用户名输入到浏览器上
  • 解决申请 post 乱码代码
  • request.setCharacterEncoding(“utf-8”);
  • 设置响应编码集代码
  • response.setContentType(“text/html;charset=utf-8”);
  • 常常会应用,而过滤器能够在指标资源之前执行,将很多程序中解决乱码公共代码,提取到过滤器中,当前程序中不须要解决编码问题了

public class EncodingFilter implements Filter {

    private String encode;

    public void destroy() {

    }

    public void doFilter(ServletRequest arg0, ServletResponse arg1,

            FilterChain chain) throws IOException, ServletException {

        // 1. 强制转换

        HttpServletRequest request = (HttpServletRequest) arg0;

        HttpServletResponse response = (HttpServletResponse) arg1;

        // 2. 操作

        request.setCharacterEncoding(encode);

        // 3. 放行

        chain.doFilter(request, response);

    }

    public void init(FilterConfig config) throws ServletException {

        this.encode = config.getInitParameter(“encode”);

    }

}

    <!– post 编码过滤器 –>

    <filter>

        <filter-name>encodingFilter</filter-name>

        <filter-class>cn.itcast.filter.demo1.EncodingFilter</filter-class>

        <init-param>

            <param-name>encode</param-name>

            <param-value>utf-8</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>encodingFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

示例 2 禁用所有 JSP 页面缓存

  • 因为动静页面数据,是由程序生成的,所以如果有缓存,就会产生,客户端查看数据不是最新数据状况,对于动静程序生成页面,设置浏览器端禁止缓存页面内容
  • 有 3 个 HTTP 响应头字段都能够禁止浏览器缓存以后页面,它们在 Servlet 中的示例代码如下:
  • response.setDateHeader(“Expires”,-1);
  • response.setHeader(“Cache-Control”,”no-cache”);
  • response.setHeader(“Pragma”,”no-cache”);
  • 并不是所有的浏览器都能齐全反对下面的三个响应头,因而最好是同时应用下面的三个响应头。
  • Expires 数据头:值为 GMT 工夫值,为 - 1 指浏览器不要缓存页面
  • Cache-Control 响应头有两个罕用值:
  • no-cache 指浏览器不要缓存以后页面。
  • max-age:xxx 指浏览器缓存页面 xxx 秒。
  • 将禁用缓存代码,提起到过滤器中,通过 url 配置,禁用所有 JSP 页面的缓存

public class CacheFilter implements Filter{

    public void destroy() {

    }

    public void doFilter(ServletRequest req, ServletResponse resp,

            FilterChain chain) throws IOException, ServletException {

        // 1. 强制转换

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) resp;

        // 2. 操作

        response.setHeader(“pragma”, “no-cache”);

        response.setHeader(“cache-control”, “no-cache”);

        response.setDateHeader(“expires”, 0);

        // 3. 放行

        chain.doFilter(request, response);

    }

    public void init(FilterConfig filterConfig) throws ServletException {

    }

}

    <filter>

        <filter-name>cacheFilter</filter-name>

        <filter-class>cn.itcast.filter.demo2.CacheFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>cacheFilter</filter-name>

        <url-pattern>*.jsp</url-pattern>

    </filter-mapping>

示例 3 设置图片过期工夫

  • 管制浏览器缓存页面中的动态资源的过滤器:
  • 场景:有些动静页面中援用了一些图片或 css 文件以润饰页面成果,这些图片和 css 文件常常是不变动的,所以为加重服务器的压力,能够应用 filter 管制浏览器缓存这些文件,以晋升服务器的性能。
  • Tomcat 缓存策略
  • 对于服务器端常常不变动文件,设置客户端缓存工夫,在客户端资源缓存工夫到期之前,就不会去拜访服务器获取该资源 ——– 比 tomcat 内置缓存策略更优伎俩
  • 缩小服务器申请次数,晋升性能
  • 设置动态资源缓存工夫,须要设置 Expires 过期工夫,在客户端资源没有过期之前,不会产生对该资源的申请的
  • 设置 Expires 通常应用 response.setDateHeader 进行设置 设置毫秒值

public class ImageCacheFilter implements Filter {

    public void destroy() {

    }

    public void doFilter(ServletRequest req, ServletResponse resp,

            FilterChain chain) throws IOException, ServletException {

        // 1. 强制转换

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) resp;

        // 2. 操作    

        response.setDateHeader(“expires”, System.currentTimeMillis()+606024101000);// 缓存 10 天

        // 3. 放行

        chain.doFilter(request, response);

    }

    public void init(FilterConfig filterConfig) throws ServletException {

    }

}

    <filter>

        <filter-name>cacheFilter</filter-name>

        <filter-class>cn.itcast.filter.demo2.CacheFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>imageFilter</filter-name>

        <url-pattern>*.bmp</url-pattern>

    </filter-mapping>

示例 4 主动登录案例(MD5 加密)

  • 阐明:在拜访一个站点,登陆时勾选主动登陆(三个月内不必登陆),操作系统后,敞开浏览器;过几天再次拜访该站点时,间接进行登陆后状态。
  • 要求:实现用户主动登陆的过滤器
  • 在用户登陆胜利后,以 cookis 模式发送用户名、明码给客户端
  • 编写一个过滤器,filter 办法中查看 cookie 中是否带有用户名、明码信息,如果存在则调用业务层登陆办法,登陆胜利后则向 session 中存入 user 对象(即用户登陆标记),以实现程序实现主动登陆。
  • 在数据库中创立 user 表

create table user (

   id int primary key auto_increment,

   username varchar(20),

   password varchar(40),

   role varchar(10)

);

insert into user values(null,’admin’,’123′,’admin’);

insert into user values(null,’aaa’,’123′,’user’);

insert into user values(null,’bbb’,’123′,’user’);

  • 实现主动登录原理:
  • 在用户实现登陆后,勾选主动登陆复选框,服务器端将用户名和明码 以 Cookie 模式,保留在客户端。当用户下次访问该站点,AutoLoginFilter 过滤器从 Cookie 中获取 主动登陆信息
  • 1、登录胜利后,判断是否勾选了主动登录。
  • 2、如果勾线了主动登录,将用户名与明码贮存到 cookie 中。
  • 3、做一个 Filter,它拦挡所有申请,当拜访资源时,咱们从 cookie 中获取用户名与明码,进行登录操作。
  • 在 LoginServlet 中次要工作
  • 如果登录胜利后,判断是否勾选了主动登录,如果勾选了,将用户名与明码存储到 cookie 中。

if(“ok”.equals(autologin)){

                    Cookie cookie = new Cookie(“autologin”,URLEncoder.encode(username,”utf-8″)+”::”+password);

                    cookie.setMaxAge(606024*10);

                    cookie.setPath(“/”);

                    response.addCookie(cookie);

                }

  • 创立一个 AutoLoginFilter 进行主动登录操作
  • Cookie cookie = CookieUtils.findCookieByName(request.getCookies(),”autologin”);
  • 失去 autologin 这个 cookie
  • 失去 username 与 password 进行登录操作

    if(cookie != null){

                    String username = URLDecoder.decode(cookie.getValue().split(“::”)[0],”utf-8″);

                    String password = cookie.getValue().split(“::”)[1];

                    UserService service = new UserService();

                    User user;

                    try {

                        user = service.login(username, password);

                        if(user != null){

                            request.getSession().setAttribute(“user”, user);

                             response.sendRedirect(request.getContextPath()

                             + “/demo4/success.jsp”);

                            return;

                        }

                    } catch (SQLException e) {

                        // TODO Auto-generated catch block

                        e.printStackTrace();

                    }

  • 如果将用户明码保留在 cookie 文件中,十分不平安的,通常状况下明码须要加密后能力保留到客户端
  • 应用 md5 算法对明码进行加密
  • md5 加密算法是一个单向加密算法,反对明文—密文 不反对密文解密
  • MySQL 数据库中提供 md5 函数,能够实现 md5 加密
  • mysql> select md5(‘123’);
  • 将数据表中所有明码 变为密文 update user set password = md5(password) ;
  • Java 中提供类 MessageDigest 实现 MD5 加密
  • MD5 加密算法

       /**

     * 应用 md5 的算法进行加密

     */

    public static String md5(String plainText) {

        byte[] secretBytes = null;

        try {

            secretBytes = MessageDigest.getInstance(“md5”).digest(

                    plainText.getBytes());

        } catch (NoSuchAlgorithmException e) {

            throw new RuntimeException(“ 没有 md5 这个算法!”);

        }

        String md5code = new BigInteger(1, secretBytes).toString(16);

        for (int i = 0; i < 32 – md5code.length(); i++) {

            md5code = “0” + md5code;

        }

        return md5code;

示例 5 URL 级别的权限管制

  • 应用 Filter 实现 URL 级别的权限认证
  • 情景:在理论开发中咱们常常把一些执行敏感操作的 servlet 映射到一些非凡目录中,并用 filter 把这些非凡目录爱护起来,限度只能领有相应拜访权限的用户能力拜访这些目录下的资源。从而在咱们零碎中实现一种 URL 级别的权限性能。
  • 要求:为使 Filter 具备通用性,Filter 爱护的资源和相应的拜访权限通过 filter 参数的模式予以配置。
  • 问题 1:怎么判断哪些资源须要权限,哪些资源不须要权限?

//admin.properites

url=/book_add,/book_delete,/book_update,/book_search

//user.properites

url=/book_search

        String uri = request.getRequestURI();

        String contextPath = request.getContextPath();

        String path = uri .substring(contextPath.length());

        if(admins.contains(path) || users.contains(path)){

            User user = (User) request.getSession().getAttribute(“user”);

            if(user == null){

                throw new PrivilegeException();

            }

public void init(FilterConfig arg0) throws ServletException {

        this.admins = new ArrayList<String>();

        this.users = new ArrayList<String>();

        fillPath(“user”,users);

        fillPath(“admin”,admins);

    }

    private void fillPath(String baseName,List<String>list){

        ResourceBundle bundle = ResourceBundle.getBundle(baseName);

        String path = bundle.getString(“url”);

        String[] paths = path.split(“,”);

        for(String p : paths){

            list.add(p);

        }

    }            

  • 问题 2:咱们的用户是有 role 的,如果是 admin 角色,如何限度权限,如果是 user 角色如何限度权限?

if(“admin”.equals(user.getRole())){

                if(!(admins.contains(path))){

                    throw new PrivilegeException();

                }

            }

            else {

                if(!(users.contains(path))){

                    throw new PrivilegeException();

                }

            }

示例 6 通用 get 和 post 乱码过滤器

  • 因为开发人员在 filter 中能够失去代表用户申请和响应的 request、response 对象,因而在编程中能够应用 Decorator(装璜器)模式对 request、response 对象进行包装,再把包装对象传给指标资源,从而实现一些非凡需要。
  • Decorator 模式
  • 1、包装类须要和被包装对象 实现雷同接口,或者继承雷同父类
  • 2、包装类须要持有 被包装对象的援用
  • 在包装类中定义成员变量,通过包装类构造方法,传入被包装对象
  • 3、在包装类中,能够管制原来那些办法须要增强不须要增强,调用被包装对象的办法须要增强,编写加强代码逻辑
  • Decorator 设计模式的实现
  • 1. 首先看须要被加强对象继承了什么接口或父类,编写一个类也去继承这些接口或父类。
  • 2. 在类中定义一个变量,变量类型即需加强对象的类型。
  • 3. 在类中定义一个构造函数,接管需加强的对象。
  • 4. 笼罩需加强的办法,编写加强的代码。

request 对象的加强

  • Servlet API 中提供了一个 request 对象的 Decorator 设计模式的默认实现类 HttpServletRequestWrapper
  • HttpServletRequestWrapper 类实现了 request 接口中的所有办法,但这些办法的外部实现都是仅仅调用了一下所包装的的 request 对象的对应办法, 以防止用户在对 request 对象进行加强时须要实现 request 接口中的所有办法。
  • 应用 Decorator 模式包装 request 对象,齐全解决 get、post 申请形式下的乱码问题
  • ServletRequestWrapper 和 HttpServletRequestWrapper 提供对 request 对象进行包装的办法,然而默认状况下每个办法都是调用原来 request 对象的办法,也就是说包装类并没有对 request 进行加强
  • 在这两个包装类根底上,继承 HttpServletRequestWrapper,笼罩须要加强的办法即可
  • 零碎中存在很多资源,将须要进行权限管制的资源,放入非凡门路中,编写过滤器治理拜访非凡门路的申请,如果没有相应身份和权限,管制无法访问
  • 在 Filter 中,对 request 对象进行包装,加强取得参数的办法
  • getParameter
  • getParameterValues
  • getParameterMap

public class EncodingFilter implements Filter{

    @Override

    public void destroy() {

        // TODO Auto-generated method stub

    }

    @Override

    public void doFilter(ServletRequest req, ServletResponse resp,

            FilterChain chain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) resp;

        HttpServletRequest myrequest = new MyRequest(request);

        response.setContentType(“text/html;charset=utf-8”);

        chain.doFilter(myrequest, response);

    }

    @Override

    public void init(FilterConfig arg0) throws ServletException {

        // TODO Auto-generated method stub

    }

}

class MyRequest extends HttpServletRequestWrapper{

    private HttpServletRequest request;

    public MyRequest(HttpServletRequest request){

        super(request);

        this.request=request;

    }

    public String getParameter(String name){

        Map<String,String[]> map = getParameterMap();

        if(name == null){

            return null;

        }

        String[] st = map.get(name);

        if(st ==null || st.length==0){

            return null;

        }

        return st[0];

    }

    private boolean flag = true;

    public Map getParaMap(){

        Map<String,String[]> map = request.getParameterMap();

        if(flag){

            for(String key : map.keySet()){

                String[] values = map.get(key);

                for(int i = 0;i<values.length;i++){

                    try {

                        values[i] = new String(values[i].getBytes(“iso8859-1″),”utf-8”);

                    } catch (UnsupportedEncodingException e) {

                        // TODO Auto-generated catch block

                        e.printStackTrace();

                    }

                }

            }

            flag = false;

        }

        return map;

    }

}

response 对象的加强

  • Servlet API 中提供了 response 对象的 Decorator 设计模式的默认实现类 HttpServletResponseWrapper,(HttpServletResponseWrapper 类实现了 response 接口中的所有办法,但这些办法的外部实现都是仅仅调用了一下所包装的的 response 对象的对应办法)以防止用户在对 response 对象进行加强时须要实现 response 接口中的所有办法。
  • ServletResponseWrapper 和 HttpServletResponseWrapper 提供了对 response 对象包装,继承 HttpServletResponseWrapper,笼罩须要加强 response 的办法
  • response 加强案例—压缩响应
  • 通过 filter 向指标页面传递一个自定义的 response 对象。
  • 当页面实现输入后,在 filter 中就可失去页面写出的数据,从而咱们能够调用 GzipOuputStream 对数据进行压缩后再写出给浏览器,以此实现响应正文件压缩性能。
  • 在自定义的 response 对象中,重写 getOutputStream 办法和 getWriter 办法,使指标资源调用此办法输入页面内容时,取得的是咱们自定义的 ServletOutputStream 对象。
  • 在咱们自定义的 ServletOuputStream 对象中,重写 write 办法,使写出的数据写出到一个 buffer 中。
  • 利用 HttpServletResponseWrapper 对象,压缩响应注释内容。
正文完
 0