图片

1、过滤器和拦截器触发时机不一样过滤器是在请求进入容器后,但请求进入servlet之前行预处理的。请求结束返回也是,是在servlet处理完后,返回给前端之前。
2、拦截器可以获取IOC容器中的各个bean,而过滤器就不行,因为拦截器是spring提供并管理的,spring的功能可以被拦截器使用,在拦截器里注入一个service,可以调用业务逻辑。而过滤器是JavaEE标准,只需依赖servlet api ,不需要依赖spring。
3、过滤器的实现基于回调函数。而拦截器(代理模式)的实现基于反射
4、Filter是依赖于Servlet容器,属于Servlet规范的一部分,而拦截器则是独立存在的,可以在任何情况下使用。
5、Filter的执行由Servlet容器回调完成,而拦截器通常通过动态代理(反射)的方式来执行。
6、Filter的生命周由Servlet容器管理,而拦截器则可以通过IoC容器来管理,因此可以通过注入等方式来获取其他Bean的实例,因此使用会更方便。

总的来说
过滤器就是筛选出你要的东西,比如requeset中你要的那部分
拦截器在做安全方面用的比较多,比如终止一些流程
网上有一张图片很不错,这里拷过来给大家看一下

761323683-5fa60754c04e2.png
过滤器(Filter) :可以拿到原始的http请求,但是拿不到你请求的控制器和请求控制器中的方法的信息。
拦截器(Interceptor):可以拿到你请求的控制器和方法,却拿不到请求方法的参数。
切片(Aspect): 可以拿到方法的参数,但是却拿不到http请求和响应的对象
3539732011-5fa6070b5eada.png

过滤器

两种方式:
1、使用spring boot提供的FilterRegistrationBean注册Filter
2、使用原生servlet注解定义Filter
两种方式的本质都是一样的,都是去FilterRegistrationBean注册自定义Filter
方式一: (使用spring boot提供的FilterRegistrationBean注册Filter )
①、先定义Filter:

  1. package com.corwien.filter;
  2. import javax.servlet.*;
  3. import java.io.IOException;
  4. public class MyFilter implements Filter {
  5. @Override public void init(FilterConfig filterConfig) throws ServletException {
  6. }
  7. @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { // do something 处理request 或response
  8. // doFilter()方法中的servletRequest参数的类型是ServletRequest,需要转换为HttpServletRequest类型方便调用某些方法
  9. System.out.println("filter1"); // 调用filter链中的下一个filter
  10. HttpServletRequest request = (HttpServletRequest) servletRequest;
  11. HttpServletResponse response = (HttpServletResponse) servletResponse;
  12. String ip = request.getRemoteAddr();
  13. String url = request.getRequestURL().toString();
  14. SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
  15. Date d = new Date();
  16. String date = sdf.format(d);
  17. System.out.printf("%s %s 访问了 %s%n", date, ip, url);
  18. filterChain.doFilter(request, response);
  19. }
  20. @Override public void destroy() {
  21. }
  22. }

②、注册自定义Filter

  1. @Configuration
  2. public class FilterConfig {
  3. @Bean
  4. public FilterRegistrationBean registrationBean() {
  5. ** FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new** **MyFilter());**
  6. filterRegistrationBean.addUrlPatterns("/*");
  7. return filterRegistrationBean;
  8. }
  9. }

方式一的①②步骤可以用下面这段代码代替:

  1. @Configuration public class FilterConfig {
  2. @Bean public **FilterRegistrationBean** registFilter() {
  3. **FilterRegistrationBean registration** **= new FilterRegistrationBean();
  4. registration.setFilter(new** **LogCostFilter());**
  5. registration.addUrlPatterns("/*");
  6. registration.setName("LogCostFilter");
  7. registration.setOrder(1); return registration;
  8. }
  9. }
  1. public class LogCostFilter implements Filter {
  2. @Override public void init(FilterConfig filterConfig) throws ServletException {
  3. }
  4. @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { long start = System.currentTimeMillis();
  5. filterChain.doFilter(servletRequest,servletResponse);
  6. System.out.println("Execute cost="+(System.currentTimeMillis()-start));
  7. }
  8. @Override public void destroy() {
  9. }

方式二:(使用原生servlet注解定义Filter

  1. // 注入spring容器
  2. @Component // 定义filterName 和过滤的url
  3. @WebFilter(filterName = "my2Filter" ,urlPatterns = "/*") public class My2Filter implements Filter {
  4. @Override public void init(FilterConfig filterConfig) throws ServletException {
  5. }
  6. @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
  7. System.out.println("filter2");
  8. }
  9. @Override public void destroy() {
  10. }
  11. }

这里直接用@WebFilter就可以进行配置,同样,可以设置url匹配模式,过滤器名称等。这里需要注意一点的是@WebFilter这个注解是Servlet3.0的规范,并不是Spring boot提供的。除了这个注解以外,我们还需在启动类中加另外一个注解:@ServletComponetScan,指定扫描的包。

拦截器的配置

实现拦截器可以通过继承 HandlerInterceptorAdapter类也可以通过实现HandlerInterceptor这个接口。另外,如果preHandle方法return true,则继续后续处理。
首先我们实现拦截器类:

  1. public class LogCostInterceptor implements HandlerInterceptor { long start = System.currentTimeMillis();
  2. @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
  3. start = System.currentTimeMillis(); return true;
  4. }
  5. @Override public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
  6. System.out.println("Interceptor cost="+(System.currentTimeMillis()-start));
  7. }
  8. @Override public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
  9. }
  10. }

我们还需要实现HandlerInterceptor这个接口,这个接口包括三个方法,preHandle是请求执行前执行的,postHandler是请求结束执行的,但只有preHandle方法返回true的时候才会执行,afterCompletion是视图渲染完成后才执行,同样需要preHandle返回true,该方法通常用于清理资源等工作。除了实现上面的接口外,我们还需对其进行配置:

  1. @Configuration public class InterceptorConfig extends WebMvcConfigurerAdapter {
  2. @Override public void addInterceptors(InterceptorRegistry registry) {
  3. registry.addInterceptor(new LogCostInterceptor()).addPathPatterns("/**"); super.addInterceptors(registry);
  4. }
  5. }

这里我们继承了WebMVCConfigurerAdapter,这里我们重写了addInterceptors这个方法,进行拦截器的配置,主要配置项就两个,一个是指定拦截器,第二个是指定拦截的URL
坑坑坑:
拦截器不生效常见问题:
1)是否有加@Configuration
2)拦截路径是否有问题 和 *
3)拦截器最后路径一定要 “/
”, 如果是目录的话则是 /*/

总结一下:创建拦截器需要两步:
1、自定义拦截器
2、注册拦截器

应用场景

拦截器是在DispatcherServlet这个servlet中执行的,因此所有的请求最先进入Filter,最后离开Filter。其顺序如下。
Filter->Interceptor.preHandle->Handler->Interceptor.postHandle->Interceptor.afterCompletion->Filter

拦截器应用场景

拦截器本质上是面向切面编程(AOP),符合横切关注点的功能都可以放在拦截器中来实现,主要的应用场景包括:

  • 登录验证,判断用户是否登录。
  • 权限验证,判断用户是否有权限访问资源,如校验token
  • 日志记录,记录请求操作日志(用户ip,访问时间等),以便统计请求访问量。
  • 处理cookie、本地化、国际化、主题等。
  • 性能监控,监控请求处理时长等。
  • 通用行为:读取cookie得到用户信息并将用户对象放入请求,从而方便后续流程使用,还有如提取Locale、Theme信息等,只要是多个处理器都需要的即可使用拦截器实现)

    过滤器应用场景

    1)过滤敏感词汇(防止sql注入)
    2)设置字符编码
    3)URL级别的权限访问控制
    4)压缩响应信息

2225794775-5fa60eec8f821_fix732.png

(1)过滤器(Filter):它依赖于servlet容器。它可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的,是用来做一些过滤操作,获取我们想要获取的数据,比如:在Javaweb中,对传入的request、response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者Controller进行业务逻辑操作。通常用的场景是:在过滤器中修改字符编码(CharacterEncodingFilter)、在过滤器中修改HttpServletRequest的一些参数(XSSFilter(自定义过滤器)),如:过滤低俗文字、危险字符等。

(2)拦截器(Interceptor):它依赖于web框架,在SpringMVC中就是依赖于SpringMVC框架。在实现上,基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在service或者一个方法前,调用一个方法,或者在方法后,调用一个方法,比如动态代理就是拦截器的简单实现,在调用方法前打印出字符串(或者做其它业务逻辑的操作),也可以在调用方法后打印出字符串,甚至在抛出异常的时候做业务逻辑的操作。由于拦截器是基于web框架的调用,因此可以使用Spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个controller生命周期之内可以多次调用。拦截器可以对静态资源的请求进行拦截处理。

image.png