filter过滤器

servlet API中最重要的一个功能就是能够为servlet和JSP页面定义过滤器。过滤器提供了某些早期服务器所支持的非标准“servlet链接”的一种功能强大且标准的替代品。 过滤器是一个程序，它先于与之相关的servlet或JSP页面运行在服务器上。过滤器可附加到一个或多个servlet或JSP页面上，并且可以检查进入这些资源的请求信息。在这之后，过滤器可以作如下的选择： 1. 以常规的方式调用资源（即，调用servlet或JSP页面）。 2.利用修改过的请求信息调用资源。 3. 调用资源，但在发送响应到客户机前对其进行修改 4. 阻止该资源调用，代之以转到其他的资源，返回一个特定的状态代码或生成替换输出。

过滤器提供了几个重要好处 ： 首先，它以一种模块化的或可重用的方式封装公共的行为。你有30个不同的serlvet或JSP页面，需要压缩它们的内容以减少下载时间吗？没问题：构造一个压缩过滤器，然后将它应用到30个资源上即可。 其次，利用它能够将高级访问决策与表现代码相分离。这对于JSP特别有价值，其中一般希望将几乎整个页面集中在表现上，而不是集中在业务逻辑上。例如，希 望阻塞来自某些站点的访问而不用修改各页面（这些页面受到访问限制）吗？没问题：建立一个访问限制过滤器并把它应用到想要限制访问的页面上即可。 最后，过滤器使你能够对许多不同的资源进行批量性的更改。你有许多现存资源，这些资源除了公司名要更改外其他的保持不变，能办到么？没问题：构造一个串替换过滤器，只要合适就使用它。 但要注意，过滤器只在与servlet规范2.3版兼容的服务器上有作用。如果你的Web应用需要支持旧版服务器，就不能使用过滤器。 建立一个过滤器涉及下列五个步骤： 1）建立一个实现Filter接口的类。这个类需要三个方法，分别是：doFilter、init和destroy。 doFilter方法包含主要的过滤代码（见第2步），init方法建立设置操作，而destroy方法进行清楚。 2）在doFilter方法中放入过滤行为。doFilter方法的第一个参数为ServletRequest对象。此对象给过滤器提供了对进入的信息 （包括表单数据、cookie和HTTP请求头）的完全访问。第二个参数为ServletResponse，通常在简单的过滤器中忽略此参数。最后一个参 数为FilterChain，如下一步所述，此参数用来调用servlet或JSP页。 3）调用FilterChain对象的doFilter方法。Filter接口的doFilter方法取一个FilterChain对象作为它的一个参 数。在调用此对象的doFilter方法时，激活下一个相关的过滤器。如果没有另一个过滤器与servlet或JSP页面关联，则servlet或JSP 页面被激活。 4）对相应的servlet和JSP页面注册过滤器。在部署描述符文件（web.xml）中使用filter和filter-mapping元素。 5）禁用激活器servlet。防止用户利用缺省servlet URL绕过过滤器设置。 1.1 建立一个实现Filter接口的类 所有过滤器都必须实现javax.servlet.Filter。这个接口包含三个方法，分别为doFilter、init和destroy。 public void doFilter(ServletRequset request, ServletResponse response, FilterChain chain) thows ServletException, IOException 每当调用一个过滤器（即，每次请求与此过滤器相关的servlet或JSP页面）时，就执行其doFilter方法。正是这个方法包含了大部分过滤逻辑。 第一个参数为与传入请求有关的ServletRequest。对于简单的过滤器，大多数过滤逻辑是基于这个对象的。如果处理HTTP请求，并且需要访问诸 如getHeader或getCookies等在ServletRequest中无法得到的方法，就要把此对象构造成 HttpServletRequest。 第二个参数为ServletResponse。除了在两个情形下要使用它以外，通常忽略这个参数。首先，如果希望完全阻塞对相关servlet或JSP页 面的访问。可调用response.getWriter并直接发送一个响应到客户机。其次，如果希望修改相关的servlet或JSP页面的输出，可把响 应包含在一个收集所有发送到它的输出的对象中。然后，在调用serlvet或JSP页面后，过滤器可检查输出，如果合适就修改它，之后发送到客户机。 DoFilter的最后一个参数为FilterChain对象。对此对象调用doFilter以激活与servlet或JSP页面相关的下一个过滤器。如果没有另一个相关的过滤器，则对doFilter的调用激活servlet或JSP本身。 public void init(FilterConfig config) thows ServletException init方法只在此过滤器第一次初始化时执行，不是每次调用过滤器都执行它。对于简单的过滤器，可提供此方法的一个空体，但有两个原因需要使用init。 首先，FilterConfig对象提供对servlet环境及web.xml文件中指派的过滤器名的访问。因此，普遍的办法是利用init将 FilterConfig对象存放在一个字段中，以便doFilter方法能够访问servlet环境或过滤器名.其次，FilterConfig对象具 有一个getInitParameter方法，它能够访问部署描述符文件（web.xml）中分配的过滤器初始化参数。 public void destroy( ) 大多数过滤器简单地为此方法提供一个空体，不过，可利用它来完成诸如关闭过滤器使用的文件或数据库连接池等清除任务。 doFilter方法为大多数过滤器地关键部分。每当调用一个过滤器时，都要执行doFilter。对于大多数过滤器来说，doFilter执行的步骤是 基于传入的信息的。因此，可能要利用作为doFilter的第一个参数提供的ServletRequest。这个对象常常构造为 HttpServletRequest类型，以提供对该类的更特殊方法的访问。 Filter接口的doFilter方法以一个FilterChain对象作为它的第三个参数。在调用该对象的doFilter方法时，激活下一个相关的 过滤器。这个过程一般持续到链中最后一个过滤器为止。在最后一个过滤器调用其FilterChain对象的doFilter方法时，激活servlet或 页面自身。 但是，链中的任意过滤器都可以通过不调用其FilterChain的doFilter方法中断这个过程。在这样的情况下，不再调用JSP页面的serlvet，并且中断此调用过程的过滤器负责将输出提供给客户机。 部署描述符文件的2.3版本引入了两个用于过滤器的元素，分别是：filter和filter-mapping。filter元素向系统注册一个过滤对象，filter-mapping元素指定该过滤对象所应用的URL。 1.filter元素 filter元素位于部署描述符文件（web.xml）的前部，所有filter-mapping、servlet或servlet-mapping元素之前。filter元素具有如下六个可能的子元素： 1、 icon 这是一个可选的元素，它声明IDE能够使用的一个图象文件。 2、filter-name 这是一个必需的元素，它给过滤器分配一个选定的名字。 3、display-name 这是一个可选的元素，它给出IDE使用的短名称。 4、 description 这也是一个可选的元素，它给出IDE的信息，提供文本文档。 5、 filter-class 这是一个必需的元素，它指定过滤器实现类的完全限定名。 6、 init-param 这是一个可选的元素，它定义可利用FilterConfig的getInitParameter方法读取的初始化参数。单个过滤器元素可包含多个init-param元素。 请注意，过滤是在serlvet规范2.3版中初次引入的。因此，web.xml文件必须使用DTD的2.3版本。下面介绍一个简单的例子： <xml version="1.0" encoding="ISO-8859-1"?> DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd"> <web-app> <filter> <filter-name>MyFilterfilter-name> <filter-class>myPackage.FilterClass</filter-class> </filter> <filter-mapping>...</filter-mapping> </web-app> 2.filter-mapping元素 filter-mapping元素位于web.xml文件中filter元素之后serlvet元素之前。它包含如下三个可能的子元素： 1、 filter-name 这个必需的元素必须与用filter元素声明时给予过滤器的名称相匹配。 2、 url-pattern 此元素声明一个以斜杠（/）开始的模式，它指定过滤器应用的URL。所有filter-mapping元素中必须提供url-pattern或 servlet-name。但不能对单个filter-mapping元素提供多个url-pattern元素项。如果希望过滤器适用于多个模式，可重复 整个filter-mapping元素。 3、 servlet-name 此元素给出一个名称，此名称必须与利用servlet元素给予servlet或JSP页面的名称相匹配。不能给单个filter-mapping元素提供 多个servlet-name元素项。如果希望过滤器适合于多个servlet名，可重复这个filter-mapping元素。 下面举一个例子： xml version="1.0"encoding="ISO-8859-1"?> DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd"> <web-app> <filter> <filter-name>MyFilter</filter-name> <filter-class>myPackage.FilterClass</filter-class> </filter> <filter-mapping> <filter-name>MyFilter</filter-name> <url-pattern>/someDirectory/SomePage.jsp</url-pattern> </filter-mapping> </web-app> 在对资源应用过滤器时，可通过指定要应用过滤器的URL模式或servlet名来完成。如果提供servlet名，则此名称必须与web.xml的 servlet元素中给出的名称相匹配。如果使用应用到一个serlvet的URL模式，则此模式必须与利用web.xml的元素servlet- mapping指定的模式相匹配。但是，多数服务器使用“激活器servlet”为servlet体统一个缺省的URL：http: //host/WebAppPrefix/servlet/ServletName。需要保证用户不利用这个URL访问servlet（这样会绕过过滤器 设置）。 例如，假如利用filter和filter-mapping指示名为SomeFilter的过滤器应用到名为SomeServlet的servlet，则如下： <filter> <filter-name>SomeFilter</filter-name> <filter-class>somePackage.SomeFilterClass</filter-class> </filter> <filter-mapping> <filter-name>SomeFilter</filter-name> <servlet-name>SomeServlet</servlet-name> </filter-mapping> 接着，用servlet和servlet-mapping规定URL http://host/webAppPrefix/Blah 应该调用SomeSerlvet，如下所示： <filter> <filter-name>SomeFilter</filter-name> <filter-class>somePackage.SomeFilterClass</filter-class> </filter> <filter-mapping> <filter-name>SomeFilter</filter-name> <servlet-name>/Blah</servlet-name> </filter-mapping> 现在，在客户机使用URL http://host/webAppPrefix/Blah 时就会调用过滤器。过滤器不应用到 http://host/webAppPrefix/servlet/SomePackage.SomeServletClass。 尽管有关闭激活器的服务器专用方法。但是，可移植最强的方法时重新映射Web应用钟的/servlet模式，这样使所有包含此模式的请求被送到相同的 servlet中。为了重新映射此模式，首先应该建立一个简单的servlet，它打印一条错误消息，或重定向用户到顶层页。然后，使用servlet和 servlet-mapping元素发送包含/servlet模式的请求到该servlet。程序清单9-1给出了一个简短的例子。 程序清单9-1 web.xml（重定向缺省servlet URL的摘录） xml version="1.0" encoding="ISO-8859-1"?> DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd"> <web-app> <servlet> <servlet-name>Error</servlet-name> <servlet-class>somePackage.ErrorServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>Error</servlet-name> <url-pattern>/servlet/*</url-pattern> </servlet-mapping> </web-app> filter过滤器主要使用于前台向后台传递数据是的过滤操作。程度很简单就不说明了，直接给几个已经写好的代码： 一、使浏览器不缓存页面的过滤器 Java代码 import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** * 用于的使 Browser 不缓存页面的过滤器 */ public class ForceNoCacheFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException { ((HttpServletResponse) response).setHeader("Cache-Control","no-cache"); ((HttpServletResponse) response).setHeader("Pragma","no-cache"); ((HttpServletResponse) response).setDateHeader ("Expires", -1); filterChain.doFilter(request, response); } public void destroy() { } public void init(FilterConfig filterConfig) throws ServletException { } } 二、检测用户是否登陆的过滤器 importjavax.servlet.*; importjavax.servlet.http.HttpServletRequest; importjavax.servlet.http.HttpServletResponse; importjavax.servlet.http.HttpSession; importjava.util.List; importjava.util.ArrayList; importjava.util.StringTokenizer; importjava.io.IOException; /** *用于检测用户是否登陆的过滤器，如果未登录，则重定向到指的登录页面<p> *配置参数<p> *checkSessionKey需检查的在Session中保存的关键字<br/> *redirectURL如果用户未登录，则重定向到指定的页面，URL不包括ContextPath<br/> *notCheckURLList不做检查的URL列表，以分号分开，并且URL中不包括ContextPath<br/> */ publicclassCheckLoginFilter implementsFilter { protectedFilterConfigfilterConfig=null; privateStringredirectURL=null; privateListnotCheckURLList=newArrayList(); privateStringsessionKey=null; publicvoiddoFilter(ServletRequestservletRequest,ServletResponseservletResponse,FilterChainfilterChain)throwsIOException,ServletException { HttpServletRequestrequest=(HttpServletRequest)servletRequest; HttpServletResponseresponse=(HttpServletResponse)servletResponse; HttpSessionsession=request.getSession(); if(sessionKey==null) { filterChain.doFilter(request,response); return; } if((!checkRequestURIIntNotFilterList(request))&&session.getAttribute(sessionKey)==null) { response.sendRedirect(request.getContextPath()+redirectURL); return; } filterChain.doFilter(servletRequest,servletResponse); } publicvoiddestroy() { notCheckURLList.clear(); } privatebooleancheckRequestURIIntNotFilterList(HttpServletRequestrequest) { Stringuri=request.getServletPath()+(request.getPathInfo()==null?"":request.getPathInfo()); returnnotCheckURLList.contains(uri); } publicvoidinit(FilterConfigfilterConfig)throwsServletException { this.filterConfig=filterConfig; redirectURL=filterConfig.getInitParameter("redirectURL"); sessionKey=filterConfig.getInitParameter("checkSessionKey"); StringnotCheckURLListStr=filterConfig.getInitParameter("notCheckURLList"); if(notCheckURLListStr!=null) { StringTokenizerst=newStringTokenizer(notCheckURLListStr,";"); notCheckURLList.clear(); while(st.hasMoreTokens()) { notCheckURLList.add(st.nextToken()); } } } } 三、字符编码的过滤器 importjavax.servlet.*; importjava.io.IOException; /** *用于设置HTTP请求字符编码的过滤器，通过过滤器参数encoding指明使用何种字符编码,用于处理HtmlForm请求参数的中文问题 */ publicclassCharacterEncodingFilter implementsFilter { protectedFilterConfigfilterConfig=null; protectedStringencoding=""; publicvoiddoFilter(ServletRequestservletRequest,ServletResponseservletResponse,FilterChainfilterChain)throwsIOException,ServletException { if(encoding!=null) servletRequest.setCharacterEncoding(encoding); filterChain.doFilter(servletRequest,servletResponse); } publicvoiddestroy() { filterConfig=null; encoding=null; } publicvoidinit(FilterConfigfilterConfig)throwsServletException { this.filterConfig=filterConfig; this.encoding=filterConfig.getInitParameter("encoding"); } } 四、记录用户的访问操作器 代码： package com.qwserv.itm.pfl.log.svr; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import java.text.SimpleDateFormat; import javax.servlet.http.HttpServletRequest; import com.qwserv.itm.api.pfl.sm.vo.Person; import java.sql.*; import com.qwserv.itm.api.ServiceAccess; import com.qwserv.itm.util.toolkit.DebugUtil; public class ObserveFilter implements Filter { protected static DebugUtil log = DebugUtil.getInstances("pfl-log", ObserveFilter.class); public void destroy() { } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { //记录用户的访问操作 HttpServletRequest request1 = (HttpServletRequest)request; StringBuffer url = request1.getRequestURL(); //对url进行过滤，如果是js/css/image则不进行处理 if (judgeFile(url.toString())){ String operTime = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"). format(new java.util.Date()); String hostIp = request.getRemoteAddr(); String sessionId = request1.getRequestedSessionId(); String userId = ""; Person person = (Person)request1.getSession().getAttribute("userObj"); if (null != person && null != person.getUser()){ userId = person.getUser().getId(); } String queryString = request1.getQueryString(); if (null != queryString) { url.append('?'); url.append(queryString); } //保存到数据库中 saveToDb(userId,hostIp,sessionId,url.toString(),operTime,""); } // Pass control on to the next filter chain.doFilter(request, response); } public void init(FilterConfig filterConfig) throws ServletException { } public boolean judgeFile(String url){ if (url.endsWith(".gif") || url.endsWith(".jpg") || url.endsWith(".png") || url.endsWith(".bmp") || url.endsWith(".css") || url.endsWith(".js") || url.endsWith(".jsx")){ return false; } else { return true; } } public int saveToDb(String userId, String hostIp,String sessionId,String url, String operTime,String desc){ //将报表任务数据保存到数据库中 Connection conn = null; Statement st = null; try { //构造sql表达式，将数据插入数据库 conn = ServiceAccess.getSystemSupportService().getDefaultConnection(); st = conn.createStatement(); String sql = "insert into LOG_OBSERVE_HISTORY(USERID,URL,Detail,SessionID,HostName,StartDate) values('"+ userId + "','" + url + "','" + desc + "','" + sessionId + "','" + hostIp + "','" + operTime + "')"; if (ServiceAccess.getSystemSupportService().getConnectionType(conn)==ServiceAccess.getSystemSupportService().JCA_TYPE_ORACLE){ sql = "insert into LOG_OBSERVE_HISTORY(Id,USERID,URL,Detail,SessionID,HostName,StartDate) values(LOG_OBSERVE_SEQ.nextval,'"+ userId + "','" + url + "','" + desc + "','" + sessionId + "','" + hostIp + "',TO_DATE('" + operTime + "','YYYY-MM-DD HH24:MI:SS'))"; } st.executeUpdate(sql); } catch (Exception e) { e.printStackTrace(); log.error("--------------------The url String is:" + url + "-------------------------------"); return 1; //表示操作失败 } finally { if (null != st) { try{ st.close(); } catch(Exception e) { e.printStackTrace(); } st = null; } if (conn != null) { try { conn.close(); } catch (Exception e) { e.printStackTrace(); } conn = null; } } return 0; //表示操作成功 } } <filter> <filter-name>ObserveFilter</filter-name> <filter-class>com.qwserv.itm.pfl.log.svr.ObserveFilter</filter-class> </filter> <filter-mapping> <filter-name>ObserveFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 五.Filter防止用户访问一些未被授权的资源 package com.drp.util.filter; importjava.io.IOException; importjavax.servlet.Filter; importjavax.servlet.FilterChain; importjavax.servlet.FilterConfig; importjavax.servlet.ServletException; importjavax.servlet.ServletRequest; importjavax.servlet.ServletResponse; importjavax.servlet.http.HttpServletRequest; importjavax.servlet.http.HttpServletResponse; importjavax.servlet.http.HttpSession; publicclassAuthFilterimplementsFilter{ publicvoiddestroy(){ } publicvoiddoFilter(ServletRequestservletRequest,ServletResponseservletResponse, FilterChainfilterChain)throwsIOException,ServletException{//1,doFilter方法的第一个参数为ServletRequest对象。此对象给过滤器提供了对进入的信息（包括表单数据、cookie和HTTP请求头）的完全访问。第二个参数为ServletResponse，通常在简单的过滤器中忽略此参数。最后一个参数为FilterChain，此参数用来调用servlet或JSP页。 HttpServletRequestrequest=(HttpServletRequest)servletRequest;//;//如果处理HTTP请求，并且需要访问诸如getHeader或getCookies等在ServletRequest中无法得到的方法，就要把此request对象构造成HttpServletRequest HttpServletResponseresponse=(HttpServletResponse)servletResponse。 StringcurrentURL=request.getRequestURI();//取得根目录所对应的绝对路径: StringtargetURL=currentURL.substring(currentURL.indexOf("/",1),currentURL.length());//截取到当前文件名用于比较 HttpSessionsession=request.getSession(false); if(!"/login.jsp".equals(targetURL)){//判断当前页是否是重定向以后的登录页面页面，如果是就不做session的判断，防止出现死循环 if(session==null||session.getAttribute("user")==null){//*用户登录以后需手动添加session System.out.println("request.getContextPath()="+request.getContextPath()); response.sendRedirect(request.getContextPath()+"/login.jsp");//如果session为空表示用户没有登录就重定向到login.jsp页面 return; } } //加入filter链继续向下执行 filterChain.doFilter(request,response);//.调用FilterChain对象的doFilter方法。Filter接口的doFilter方法取一个FilterChain对象作为它的一个参数。在调用此对象的doFilter方法时，激活下一个相关的过滤器。如果没有另一个过滤器与servlet或JSP页面关联，则servlet或JSP页面被激活。 } publicvoidinit(FilterConfigfilterConfig)throwsServletException{ } } <filter> <filter-name>AuthFilter</filter-name> <filter-class>com.drp.util.filter.AuthFilter</filter-class> </filter> <filter-mapping> <filter-name>AuthFilter</filter-name> <url-pattern>*.jsp</url-pattern>//表示对所有jsp文件有效 </filter-mapping>