Springboot 过滤器
拦截器和过滤器的区别:
过滤器(Filter) :可以拿到原始的http请求,但是拿不到你请求的控制器和请求控制器中的方法的信息。
拦截器(Interceptor):可以拿到你请求的控制器和方法,却拿不到请求方法的参数。
切片(Aspect): 可以拿到方法的参数,但是却拿不到http请求和响应的对象
1.过滤器和拦截器触发时机不一样,过滤器是在请求进入容器后,但请求进入servlet之前进行预处理的。请求结束返回也是,是在servlet处理完后,返回给前端之前。
2、拦截器可以获取IOC容器中的各个bean,而过滤器就不行,因为拦截器是spring提供并管理的,spring的功能可以被拦截器使用,在拦截器里注入一个service,可以调用业务逻辑。而过滤器是JavaEE标准,只需依赖servlet api ,不需要依赖spring。
3、过滤器的实现基于回调函数。而拦截器(代理模式)的实现基于反射
4、Filter是依赖于Servlet容器,属于Servlet规范的一部分,而拦截器则是独立存在的,可以在任何情况下使用。
5、Filter的执行由Servlet容器回调完成,而拦截器通常通过动态代理(反射)的方式来执行。
6、Filter的生命周期由Servlet容器管理,而拦截器则可以通过IoC容器来管理,因此可以通过注入等方式来获取其他Bean的实例,因此使用会更方便。
最简单明了的区别就是过滤器可以修改request,而拦截器不能
过滤器需要在servlet容器中实现,拦截器可以适用于javaEE,javaSE等各种环境
拦截器可以调用IOC容器中的各种依赖,而过滤器不能
过滤器只能在请求的前后使用,而拦截器可以详细到每个方法
一、应用场景:
Springboot的过滤器,在web开发中可以过滤指定的url
比如过拦截掉我们不需要的接口请求,同时也可以修改request和response内容
过滤器的应用场景:
1)过滤敏感词汇(防止sql注入)
2)设置字符编码
3)URL级别的权限访问控制
4)压缩响应信息
二、实现方法:
1、使用spring boot提供的FilterRegistrationBean注册Filter
2、使用原生servlet注解定义Filter
两种方式的本质都是一样的,都是去FilterRegistrationBean注册自定义Filter
方式一: (使用spring boot提供的FilterRegistrationBean注册Filter )
①、先定义Filter:
package com.corwien.filter;
import javax.servlet.*;
import java.io.IOException;
public class MyFilter implements Filter {
Logger logger = LoggerFactory.getLogger(BaseFilter.class);static final String TOKEN = "20220423344556abac";//内部接口集合public static List INSIDE_URLS = Lists.newArrayList("/index","/inside");//白名单接口集合public static List WHITE_PATH = Lists.newArrayList("/white","/login");@Override public void init(FilterConfig filterConfig) throws ServletException {}@Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { // do something 处理request 或response// doFilter()方法中的servletRequest参数的类型是ServletRequest,需要转换为HttpServletRequest类型方便调用某些方法System.out.println("filter1"); // 调用filter链中的下一个filterHttpServletRequest request = (HttpServletRequest) servletRequest;HttpServletResponse response = (HttpServletResponse) servletResponse;String ip = request.getRemoteAddr();SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");Date d = new Date();String date = sdf.format(d);System.out.printf("%s %s 访问了 %s%n", date, ip, url);String requestURI = request.getRequestURI();if(INSIDE_URLS.contains(requestURI)){//内部接口,直接通过filterChain.doFilter(servletRequest,servletResponse);return;}if(WHITE_PATH.contains(requestURI)){//白名单接口,直接通过filterChain.doFilter(servletRequest,servletResponse);return;}//进行校验,如token校验String token = request.getHeader("token");if(TOKEN.equals(token)){filterChain.doFilter(servletRequest,servletResponse);}else {//token校验不通过,重定向到登录页面wrapper.sendRedirect("/login");}}@Override public void destroy() {}
} 过滤器需要实现Filter类,其中有三个默认的方法(init初始方法,doFilter核心过滤方法,destroy销毁方法)
②、注册自定义Filter过滤器配置类
@Configuration
public class FilterConfig {/*** 基础过滤器* @return*/@Beanpublic FilterRegistrationBean baseFilter(){FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();filterRegistrationBean.setFilter(new BaseFilter());filterRegistrationBean.setUrlPatterns(Lists.newArrayList("/*"));filterRegistrationBean.setOrder(1);return filterRegistrationBean;}
} 新增controller方法和登录页login.html
@RestController
public class restController {@Autowiredprivate AsynService asynService;/*** 白名单接口* @return*/@GetMapping("/while")public String whileTest(){return "success";}/*** 非白名单接口* @return*/@GetMapping("/no-while")public String noWhileTest(){return "success";}/*** 登录接口* @param username* @param password* @param mv* @param request* @param model* @return*/@GetMapping("/login")public ModelAndView login(String username, String password, ModelAndView mv, HttpServletRequest request, Model model){if(StringUtils.hasLength(username)&&StringUtils.hasLength(password)){//TODO 登录逻辑System.out.println("成功!!");mv.setViewName("index");}else{System.out.println("失败!!");mv.setViewName("/login.html");}return mv;}
}
测试
项目启动后,访问下面两个接口(白名单接口PK非白名单接口)
接口一:http://localhost:8080/whileTest
接口二:http://localhost:8080/no-while
接口一为白名单范畴,过滤器直接通行,返回“success”
接口二在过滤器中需要校验token,在没有携带token的情况下,会重定向到登录页