关于java:我在上海乐字节学习的第二十一天持续更新中

Filter 也称之为过滤器，它是 Servlet 技术中最实用的技术，WEB 开发人员通过 Filter 技术，对 web 服务器治理的所有 web 资源：例如 Jsp, Servlet, 动态图片文件或动态 html 文件等进行拦挡，从而实现一些非凡的性能。例如实现 URL 级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级性能。
Servlet API 中提供了一个 Filter 接口，开发 web 利用时，如果编写的 Java 类实现了这个接口，则把这个 java 类 称之为过滤器 Filter。通过 Filter 技术，开发人员能够实现用户在拜访某个指标资源之前，对拜访的申请和响应进行拦挡。

Filter 接口中有一个
doFilter 办法

，当开发人员编写好 Filter，并配置对哪个 web 资源 (拦挡 url) 进行拦挡后，WEB 服务器每次在调用 web 资源之前，都会先调用一下 filter 的 doFilter 办法，因而，在该办法内编写代码可达到如下目标：
web 服务器在调用 doFilter 办法时，会传递一个 filterChain 对象进来，filterChain对象是 filter 接口中最重要的一个对象，它也提供了一个 doFilter 办法，开发人员能够依据需要决定是否调用此办法，调用该办法，则 web 服务器就会调用 web 资源的 service 办法，即 web 资源就会被拜访，否则 web 资源不会被拜访。
调用指标资源之前，让一段代码执行
是否调用指标资源（即是否让用户拜访 web 资源）。
调用指标资源之后，让一段代码执行

Filter 开发分为三个步骤：
编写 java 类实现 Filter 接口，
实现 (三个办法) 其 doFilter 办法。
在 web.xml 文件中应用 <filter> 和 <filter-mapping> 元素对编写的 filter 类进行注册，并设置它所能拦挡的资源。

在一个 web 利用中，能够开发编写多个 Filter，这些 Filter 组合起来称之为一个 Filter 链。
web 服务器依据 Filter 在 web.xml 文件中的 注册程序<mapping>，决定先调用哪个 Filter，当第一个 Filter 的 doFilter 办法被调用时，web 服务器会创立一个代表 Filter 链的 FilterChain 对象传递给该办法。在 doFilter 办法中，开发人员如果调用了 FilterChain 对象的 doFilter 办法，则 web 服务器会查看 FilterChain 对象中是否还有 filter，如果有，则调用第 2 个 filter，如果没有，则调用指标资源。
Filter 链试验（查看 filterChain API 文档）

init(FilterConfig filterConfig)throws ServletException
和咱们编写的 Servlet 程序一样，Filter 的创立和销毁由 WEB 服务器负责。web 应用程序启动时，web 服务器将创立 Filter 的实例对象，并调用其 init 办法进行初始化（注：filter 对象只会创立一次，init 办法也只会执行一次。示例）
开发人员通过 init 办法的参数，可取得代表以后 filter 配置信息的 FilterConfig 对象。(filterConfig 对象见下页 PPT)
doFilter(ServletRequest,ServletResponse,FilterChain)
每次 filter 进行拦挡都会执行
在理论开发中办法中参数 request 和 response 通常转换为 HttpServletRequest 和 HttpServletResponse 类型进行操作
destroy()
在 Web 容器卸载 Filter 对象之前被调用。

用户在配置 filter 时，能够应用
<init-param>

为 filter 配置一些初始化参数，当 web 容器实例化 Filter 对象，调用其 init 办法时，会把封装了 filter 初始化参数的 filterConfig 对象传递进来。因而开发人员在编写 filter 时，通过 filterConfig 对象的办法，就可取得：
String getFilterName()：失去filter 的名称。
String getInitParameter(String name)：返回在部署形容中 指定名称的初始化参数的值。如果不存在返回 null。
Enumeration getInitParameterNames()：返回过滤器的所有 初始化参数的名字 的枚举汇合。
public ServletContext getServletContext()：返回 Servlet上下文对象的援用。

<filter>

<filter-name>testFitler</filter-name>

<filter-class>org.test.TestFiter</filter-class>

<init-param>

<param-name>word_file</param-name>

<param-value>/WEB-INF/word.txt</param-value>

</init-param>

</filter>

<filter-name> 用于为过滤器指定一个名字，该元素的内容不能为空。
<filter-class> 元素用于指定过滤器的残缺的限定类名。
<init-param> 元素用于为过滤器指定初始化参数，它的子元素 <param-name> 指定参数的名字
<param-value> 指定参数的值。在过滤器中，能够应用 FilterConfig 接口对象来拜访初始化参数。

映射 Filter 示例

<filter-mapping>

<filter-name>testFilter</filter-name>

<url-pattern>/index.jsp</url-pattern>

<dispatcher>REQUEST</dispatcher>

<dispatcher>FORWARD</dispatcher>

</filter-mapping>

<filter-mapping> 元素用于设置一个 Filter 所负责拦挡的资源。一个 Filter 拦挡的资源可通过两种形式来指定：Servlet 名称和资源拜访的申请门路
<filter-name> 子元素用于设置 filter 的注册名称。该值必须是在 <filter> 元素中申明过的过滤器的名字
<url-pattern> 设置 filter 所拦挡的申请门路(过滤器关联的 URL 款式)
目录匹配 /a/,/ 要求必须以 / 开始。
扩展名匹配 .do,.action 要求，不能以 / 开始，以 *.xxx 完结。
1 . 齐全匹配必须以 / 开始。
2 . 能够应用
*

通配符。
<servlet-name> 指定过滤器所拦挡的 Servlet 名称。
<dispatcher> 指定过滤器所拦挡的资源被 Servlet 容器调用的形式，能够是 REQUEST,INCLUDE,FORWARD 和 ERROR 之一，默认 REQUEST。用户能够设置多个 <dispatcher> 子元素用来指定 Filter 对资源的多种调用形式进行拦挡。
<dispatcher> 子元素能够设置的值及其意义：
REQUEST：当用户间接拜访页面时，Web 容器将会调用过滤器。如果指标资源是通过 RequestDispatcher 的 include()或 forward()办法拜访时，那么该过滤器就不会被调用。
INCLUDE：如果指标资源是通过 RequestDispatcher 的 include() 办法拜访时，那么该过滤器将被调用。除此之外，该过滤器不会被调用。
FORWARD：如果指标资源是通过 RequestDispatcher 的 forward()办法拜访时，那么该过滤器将被调用，除此之外，该过滤器不会被调用。
ERROR：如果指标资源是通过 申明式异样解决机制 调用时，那么该过滤器将被调用。除此之外，过滤器不会被调用。

通过配置参数 encoding 指明应用何种字符编码, 以解决 Html Form 申请参数的中文问题
编写 jsp 输出用户名，在 Servlet 中获取用户名，将用户名输入到浏览器上
解决申请 post 乱码代码
request.setCharacterEncoding(“utf-8”);
设置响应编码集代码
response.setContentType(“text/html;charset=utf-8”);
常常会应用，而过滤器能够在指标资源之前执行，将很多程序中解决乱码公共代码，提取到过滤器中，当前程序中不须要解决编码问题了

public class EncodingFilter implements Filter {

private String encode;

public void destroy() {

}

public void doFilter(ServletRequest arg0, ServletResponse arg1,

FilterChain chain) throws IOException, ServletException {

// 1. 强制转换

HttpServletRequest request = (HttpServletRequest) arg0;

HttpServletResponse response = (HttpServletResponse) arg1;

// 2. 操作

request.setCharacterEncoding(encode);

// 3. 放行

chain.doFilter(request, response);

}

public void init(FilterConfig config) throws ServletException {

this.encode = config.getInitParameter(“encode”);

}

}

<!– post 编码过滤器 –>

<filter>

<filter-name>encodingFilter</filter-name>

<filter-class>cn.itcast.filter.demo1.EncodingFilter</filter-class>

<init-param>

<param-name>encode</param-name>

<param-value>utf-8</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>encodingFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

因为动静页面数据，是由程序生成的，所以如果有缓存，就会产生，客户端查看数据不是最新数据状况，对于动静程序生成页面，设置浏览器端禁止缓存页面内容
有 3 个 HTTP 响应头字段都能够禁止浏览器缓存以后页面，它们在 Servlet 中的示例代码如下：
response.setDateHeader(“Expires”,-1);
response.setHeader(“Cache-Control”,”no-cache”);
response.setHeader(“Pragma”,”no-cache”);
并不是所有的浏览器都能齐全反对下面的三个响应头，因而最好是同时应用下面的三个响应头。
Expires 数据头：值为 GMT 工夫值，为 - 1 指浏览器不要缓存页面
Cache-Control 响应头有两个罕用值：
no-cache 指浏览器不要缓存以后页面。
max-age:xxx 指浏览器缓存页面 xxx 秒。
将禁用缓存代码，提起到过滤器中，通过 url 配置，禁用所有 JSP 页面的缓存

public class CacheFilter implements Filter{

public void destroy() {

}

public void doFilter(ServletRequest req, ServletResponse resp,

FilterChain chain) throws IOException, ServletException {

// 1. 强制转换

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) resp;

// 2. 操作

response.setHeader(“pragma”, “no-cache”);

response.setHeader(“cache-control”, “no-cache”);

response.setDateHeader(“expires”, 0);

// 3. 放行

chain.doFilter(request, response);

}

public void init(FilterConfig filterConfig) throws ServletException {

}

}

<filter>

<filter-name>cacheFilter</filter-name>

<filter-class>cn.itcast.filter.demo2.CacheFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>cacheFilter</filter-name>

<url-pattern>*.jsp</url-pattern>

</filter-mapping>

管制浏览器缓存页面中的动态资源的过滤器：
场景：有些动静页面中援用了一些图片或 css 文件以润饰页面成果，这些图片和 css 文件常常是不变动的，所以为加重服务器的压力，能够应用 filter 管制浏览器缓存这些文件，以晋升服务器的性能。
Tomcat 缓存策略
对于服务器端常常不变动文件，设置客户端缓存工夫，在客户端资源缓存工夫到期之前，就不会去拜访服务器获取该资源 ——– 比 tomcat 内置缓存策略更优伎俩
缩小服务器申请次数，晋升性能
设置动态资源缓存工夫，须要设置 Expires 过期工夫，在客户端资源没有过期之前，不会产生对该资源的申请的
设置 Expires 通常应用 response.setDateHeader 进行设置设置毫秒值

public class ImageCacheFilter implements Filter {

public void destroy() {

}

public void doFilter(ServletRequest req, ServletResponse resp,

FilterChain chain) throws IOException, ServletException {

// 1. 强制转换

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) resp;

// 2. 操作

response.setDateHeader(“expires”, System.currentTimeMillis()+606024101000);// 缓存 10 天

// 3. 放行

chain.doFilter(request, response);

}

public void init(FilterConfig filterConfig) throws ServletException {

}

}

<filter>

<filter-name>cacheFilter</filter-name>

<filter-class>cn.itcast.filter.demo2.CacheFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>imageFilter</filter-name>

<url-pattern>*.bmp</url-pattern>

</filter-mapping>

阐明：在拜访一个站点，登陆时勾选主动登陆（三个月内不必登陆），操作系统后，敞开浏览器；过几天再次拜访该站点时，间接进行登陆后状态。
要求：实现用户主动登陆的过滤器
在用户登陆胜利后，以 cookis 模式发送用户名、明码给客户端
编写一个过滤器，filter 办法中查看 cookie 中是否带有用户名、明码信息，如果存在则调用业务层登陆办法，登陆胜利后则向 session 中存入 user 对象（即用户登陆标记），以实现程序实现主动登陆。
在数据库中创立 user 表

create table user (

id int primary key auto_increment,

username varchar(20),

password varchar(40),

role varchar(10)

);

insert into user values(null,’admin’,’123′,’admin’);

insert into user values(null,’aaa’,’123′,’user’);

insert into user values(null,’bbb’,’123′,’user’);

实现主动登录原理：
在用户实现登陆后，勾选主动登陆复选框，服务器端将用户名和明码以 Cookie 模式，保留在客户端。当用户下次访问该站点，AutoLoginFilter 过滤器从 Cookie 中获取主动登陆信息
1、登录胜利后，判断是否勾选了主动登录。
2、如果勾线了主动登录，将用户名与明码贮存到 cookie 中。
3、做一个 Filter，它拦挡所有申请，当拜访资源时，咱们从 cookie 中获取用户名与明码，进行登录操作。
在 LoginServlet 中次要工作
如果登录胜利后，判断是否勾选了主动登录，如果勾选了，将用户名与明码存储到 cookie 中。

if(“ok”.equals(autologin)){

Cookie cookie = new Cookie(“autologin”,URLEncoder.encode(username,”utf-8″)+”::”+password);

cookie.setMaxAge(606024*10);

cookie.setPath(“/”);

response.addCookie(cookie);

}

创立一个 AutoLoginFilter 进行主动登录操作
Cookie cookie = CookieUtils.findCookieByName(request.getCookies(),”autologin”);
失去 autologin 这个 cookie
失去 username 与 password 进行登录操作

if(cookie != null){

String username = URLDecoder.decode(cookie.getValue().split(“::”)[0],”utf-8″);

String password = cookie.getValue().split(“::”)[1];

UserService service = new UserService();

User user;

try {

user = service.login(username, password);

if(user != null){

request.getSession().setAttribute(“user”, user);

response.sendRedirect(request.getContextPath()

+ “/demo4/success.jsp”);

return;

}

} catch (SQLException e) {

// TODO Auto-generated catch block

e.printStackTrace();

}

如果将用户明码保留在 cookie 文件中，十分不平安的，通常状况下明码须要加密后能力保留到客户端
应用 md5 算法对明码进行加密
md5 加密算法是一个单向加密算法，反对明文—密文不反对密文解密
MySQL 数据库中提供 md5 函数，能够实现 md5 加密
mysql> select md5(‘123’);
将数据表中所有明码变为密文 update user set password = md5(password) ;
Java 中提供类 MessageDigest 实现 MD5 加密
MD5 加密算法

/**

* 应用 md5 的算法进行加密

*/

public static String md5(String plainText) {

byte[] secretBytes = null;

try {

secretBytes = MessageDigest.getInstance(“md5”).digest(

plainText.getBytes());

} catch (NoSuchAlgorithmException e) {

throw new RuntimeException(“ 没有 md5 这个算法！”);

}

String md5code = new BigInteger(1, secretBytes).toString(16);

for (int i = 0; i < 32 – md5code.length(); i++) {

md5code = “0” + md5code;

}

return md5code;

应用 Filter 实现 URL 级别的权限认证
情景：在理论开发中咱们常常把一些执行敏感操作的 servlet 映射到一些非凡目录中，并用 filter 把这些非凡目录爱护起来，限度只能领有相应拜访权限的用户能力拜访这些目录下的资源。从而在咱们零碎中实现一种 URL 级别的权限性能。
要求：为使 Filter 具备通用性，Filter 爱护的资源和相应的拜访权限通过 filter 参数的模式予以配置。
问题 1：怎么判断哪些资源须要权限，哪些资源不须要权限？

//admin.properites

url=/book_add,/book_delete,/book_update,/book_search

//user.properites

url=/book_search

String uri = request.getRequestURI();

String contextPath = request.getContextPath();

String path = uri .substring(contextPath.length());

if(admins.contains(path) || users.contains(path)){

User user = (User) request.getSession().getAttribute(“user”);

if(user == null){

throw new PrivilegeException();

}

public void init(FilterConfig arg0) throws ServletException {

this.admins = new ArrayList<String>();

this.users = new ArrayList<String>();

fillPath(“user”,users);

fillPath(“admin”,admins);

}

private void fillPath(String baseName,List<String>list){

ResourceBundle bundle = ResourceBundle.getBundle(baseName);

String path = bundle.getString(“url”);

String[] paths = path.split(“,”);

for(String p : paths){

list.add(p);

}

}

问题 2：咱们的用户是有 role 的，如果是 admin 角色，如何限度权限，如果是 user 角色如何限度权限？

if(“admin”.equals(user.getRole())){

if(!(admins.contains(path))){

throw new PrivilegeException();

}

}

else {

if(!(users.contains(path))){

throw new PrivilegeException();

}

}

因为开发人员在 filter 中能够失去代表用户申请和响应的 request、response 对象，因而在编程中能够应用 Decorator(装璜器)模式对 request、response 对象进行包装，再把包装对象传给指标资源，从而实现一些非凡需要。
Decorator 模式
1、包装类须要和被包装对象实现雷同接口，或者继承雷同父类
2、包装类须要持有被包装对象的援用
在包装类中定义成员变量，通过包装类构造方法，传入被包装对象
3、在包装类中，能够管制原来那些办法须要增强不须要增强，调用被包装对象的办法须要增强，编写加强代码逻辑
Decorator 设计模式的实现
1. 首先看须要被加强对象继承了什么接口或父类，编写一个类也去继承这些接口或父类。
2. 在类中定义一个变量，变量类型即需加强对象的类型。
3. 在类中定义一个构造函数，接管需加强的对象。
4. 笼罩需加强的办法，编写加强的代码。

Servlet API 中提供了一个 request 对象的 Decorator 设计模式的默认实现类 HttpServletRequestWrapper
HttpServletRequestWrapper 类实现了 request 接口中的所有办法，但这些办法的外部实现都是仅仅调用了一下所包装的的 request 对象的对应办法, 以防止用户在对 request 对象进行加强时须要实现 request 接口中的所有办法。
应用 Decorator 模式包装 request 对象，齐全解决 get、post 申请形式下的乱码问题
ServletRequestWrapper 和 HttpServletRequestWrapper 提供对 request 对象进行包装的办法，然而默认状况下每个办法都是调用原来 request 对象的办法，也就是说包装类并没有对 request 进行加强
在这两个包装类根底上，继承 HttpServletRequestWrapper，笼罩须要加强的办法即可
零碎中存在很多资源，将须要进行权限管制的资源，放入非凡门路中，编写过滤器治理拜访非凡门路的申请，如果没有相应身份和权限，管制无法访问
在 Filter 中，对 request 对象进行包装，加强取得参数的办法
getParameter
getParameterValues
getParameterMap

public class EncodingFilter implements Filter{

@Override

public void destroy() {

// TODO Auto-generated method stub

}

@Override

public void doFilter(ServletRequest req, ServletResponse resp,

FilterChain chain) throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) resp;

HttpServletRequest myrequest = new MyRequest(request);

response.setContentType(“text/html;charset=utf-8”);

chain.doFilter(myrequest, response);

}

@Override

public void init(FilterConfig arg0) throws ServletException {

// TODO Auto-generated method stub

}

}

class MyRequest extends HttpServletRequestWrapper{

private HttpServletRequest request;

public MyRequest(HttpServletRequest request){

super(request);

this.request=request;

}

public String getParameter(String name){

Map<String,String[]> map = getParameterMap();

if(name == null){

return null;

}

String[] st = map.get(name);

if(st ==null || st.length==0){

return null;

}

return st[0];

}

private boolean flag = true;

public Map getParaMap(){

Map<String,String[]> map = request.getParameterMap();

if(flag){

for(String key : map.keySet()){

String[] values = map.get(key);

for(int i = 0;i<values.length;i++){

try {

values[i] = new String(values[i].getBytes(“iso8859-1″),”utf-8”);

} catch (UnsupportedEncodingException e) {

// TODO Auto-generated catch block

e.printStackTrace();

}

}

}

flag = false;

}

return map;

}

}

Servlet API 中提供了 response 对象的 Decorator 设计模式的默认实现类 HttpServletResponseWrapper，（HttpServletResponseWrapper 类实现了 response 接口中的所有办法，但这些办法的外部实现都是仅仅调用了一下所包装的的 response 对象的对应办法）以防止用户在对 response 对象进行加强时须要实现 response 接口中的所有办法。
ServletResponseWrapper 和 HttpServletResponseWrapper 提供了对 response 对象包装，继承 HttpServletResponseWrapper，笼罩须要加强 response 的办法
response 加强案例—压缩响应
通过 filter 向指标页面传递一个自定义的 response 对象。
当页面实现输入后，在 filter 中就可失去页面写出的数据，从而咱们能够调用 GzipOuputStream 对数据进行压缩后再写出给浏览器，以此实现响应正文件压缩性能。
在自定义的 response 对象中，重写 getOutputStream 办法和 getWriter 办法，使指标资源调用此办法输入页面内容时，取得的是咱们自定义的 ServletOutputStream 对象。
在咱们自定义的 ServletOuputStream 对象中，重写 write 办法，使写出的数据写出到一个 buffer 中。
利用 HttpServletResponseWrapper 对象，压缩响应注释内容。

关于java:我在上海乐字节学习的第二十一天持续更新中

javaWeb 之过滤器

Fileter 介绍

Filter 如何实现拦挡

开发 Fileter 步骤

Filter 链 — FilterChain

Filter 的生命周期

FilterConfig 接口

注册与映射 Filter

注册

映射 Filter

Filter 示例

示例 1：全站对立字符编码过滤器

示例 2 禁用所有 JSP 页面缓存

示例 3 设置图片过期工夫

示例 4 主动登录案例（MD5 加密）

示例 5 URL 级别的权限管制

示例 6 通用 get 和 post 乱码过滤器

request 对象的加强

response 对象的加强