本文介绍了JavaWeb中的过滤器和拦截器在安全性过滤中的作用,强调了它们的执行时机和主要功能。过滤器主要用于请求预处理,如权限验证、数据压缩和字符编码转换,而拦截器则常见于Spring框架,用于Controller层的请求拦截和结果处理,如身份认证、日志记录和性能监控。文章还提供了SpringBoot中定义和使用拦截器的示例代码,并讨论了拦截器返回false时如何自定义响应。
拦截器和过滤器都是JavaWeb应用程序中常用的安全性过滤方式,它们可以在请求到达servlet或JSP之前或之后执行某些操作。但两者还是存在一些区别的。
从图中我们可以明确一点,过滤器和拦截器的执行时机也是不同的,过滤器会先执行,然后才会执行拦截器,最后才会进入真正的要调用的方法。
过滤器
过滤器(Filter)主要作用在请求到达Servlet或JSP之前,对请求进行预处理,可以对HTTP请求进行过滤、修改。过滤器是基于回调函数实现的,开发人员通过重写doFilter()方法实现过滤逻辑,其主要功能有:
- 权限验证:检查用户是否已经登录或者是否具有相应的权限。
- 数据压缩:从web服务器向客户端传送数据前,把数据压缩成gzip格式,减少网络传输量。
- 字符编码转换:将输入输出流的字符集统一。
- 日志记录:记录客户端访问时间、IP地址等信息,方便后期统计分析。
过滤器来自Servlet。
拦截器
拦截器(Interceptor)主要作用在请求到达Controller之前或之后,对请求进行拦截,防止非法请求到达Controller,或者在请求到达Controller之后,对返回结果进行加工处理。
在Java Web应用中,可以通过定义拦截器(Interceptor)来实现对请求和响应的拦截和处理。拦截器可以在请求被处理前、后或异常时执行相应的操作,比如权限验证、日志记录、性能监控等。
拦截器来自Spring框架。
Springboot中定义拦截器
在Spring Boot中,可以通过实现HandlerInterceptor接口来定义拦截器,并且使用@Configuration注解和WebMvcConfigurer接口的addInterceptors方法来注册拦截器,示例代码如下:
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new MyInterceptor())
.addPathPatterns("/**") // 拦截所有路径
.excludePathPatterns("/login"); // 不拦截登录请求
}
}
上述代码中,MyInterceptor是自定义的拦截器类,addPathPatterns方法指定需要拦截的请求路径,excludePathPatterns方法指定不需要拦截的请求路径。
拦截器的具体实现
拦截器是基于Java反射机制实现的。在代码层面上,拦截器通常是一个实现了javax.servlet.Filter接口的类,它可以在web.xml文件中进行配置,也可以使用注解的方式进行配置。拦截器的主要作用是拦截请求并对其进行处理,然后再将请求传递给下一个拦截器或目标处理程序(比如Servlet或JSP页面)。
代理的实际效果为:
拦截器使用场景
拦截器可以应用于各种不同的场景,比如:
- 用户身份认证和权限控制:在请求被处理前,对用户进行身份验证,并且检查用户是否具有执行该操作的权限。
- 日志记录:对请求和响应进行记录,以便后续分析和调试。
- 性能监控:测量请求和响应的时间,以便分析应用程序的性能瓶颈。
代码实战
我们创建一个Springboot项目,更详细的内容可以参考下方连接,其包含项目源代码地址。
在执行接口请求后,我们观察控制台输出顺序:
如果我们将拦截器的prehandler的返回值改为false,即强制返回。
我们输入任何内容都不会再返回有效页面。
而控制台的输出则变为:
。
根据资料介绍,拦截后如果什么都不做,确实会直接返回空页面,且页面上什么都没有。
如果我们此时需要返回结果,则需要自己给response写数据。
代码段统一参考:
@Component
public class CustomInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
if (/*some condition*/) {
// 添加您要执行的自定义逻辑
response.getWriter().write("Your custom response message");
return false; // 返回false停止请求处理
}
return true;
}
// postHandle() 和 afterCompletion() 方法省略
}
效果如下图所示,我们仅需要添加自定义的response即可。
。
对于过滤器的验证,我们将doFilter中的函数注释
重新启动Springboot进行观察,再次是一个空页面。这就可以理解为我们如果要重写过滤器,就需要主动执行回调,否则将直接提前返回,结束过滤。
我们尝试将doFilter方法整体注释,观察到
接口的函数并没有被全部实现,会报错的。
我们将整个过滤器文件注释,重启程序后:
可以看到没有过滤器的限制,整个web程序正常运行。
同时观察控制台输出,
,拦截器正常工作中。
为了让整体代码更美观,我们将意外页面统一返回一个静态结果。
public class CustomInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String servletPath = request.getServletPath();
// 判断请求路径是否匹配需要处理的路径
if (!servletPath.equals("/custom/api")) {
// 进行异常处理和返回
response.setContentType("application/json;charset=UTF-8");
response.getWriter().write("{\"status\":500,\"msg\":\"Invalid Request\"}");
response.flushBuffer();
return false;
}
return true;
}
}
此时我们随意访问一个未定义的接口:
都会返回我们统一规范的异常response,而控制台的输出
告诉我们,其不会再后续执行其他拦截方法。
当然, 这么控制异常局限性很大,实际操作中,统一处理异常请求的方法还有很多,大家可以自行了解。
参考资料:
面试突击90:过滤器和拦截器有什么区别? - Java中文社群 - 博客园 (cnblogs.com)
SpringMVC拦截器HandlerInterceptor拦截后返回数据或视图View_handlerinterceptor获取返回值_三目君的博客-优快云博客
扫一扫
1047
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
