过滤器（Filter）

Servlet中的过滤器Filter是实现了javax.servlet.Filter接口的服务器端程序，主要的用途是设置字符集、控制权限、控制转向、做一些业务逻辑判断等。其工作原理是，只要你在web.xml文件配置好要拦截的客户端请求,它是随web应用启动而启动的，只初始化一次，只有当web应用停止或重新部署的时候才销毁。

过滤器Filter

可以开发编写多个Filter，这些Filter组合起来称之为一个Filter链。web服务器根据Filter在web.xml文件中的注册顺序，决定先调用哪个Filter，如果是用注解配置的Filter，根据类名的字符串顺序决定调用顺序。当第一个Filter的doFilter方法被调用时，web服务器会创建一个代表Filter链的FilterChain对象传递给该方法。在doFilter方法中，开发人员如果调用了FilterChain对象的doFilter方法，则web服务器会检查FilterChain对象中是否还有filter，如果有，则调用第2个filter，如果没有，则调用目标资源。

使用Filter完整的流程是：

• Filter对用户请求进行预处理
• 将请求交给Servlet进行处理并生成响应
• Filter再对服务器响应进行后处理。

Filter有如下几个用处。

• 在HttpServletRequest到达Servlet之前，拦截客户的HttpServletRequest。
• 根据需要检查HttpServletRequest，也可以修改HttpServletRequest头和数据。
• 在HttpServletResponse到达客户端之前，拦截HttpServletResponse。
• 根据需要检查HttpServletResponse，也可以修改HttpServletResponse头和数据。

创建Filter必须实现Filter接口，在该接口中定义了如下三个方法。

• void init(FilterConfig config): 用于完成Filter的初始化。
• void destory(): 用于Filter销毁前，完成某些资源的回收。
• void doFilter(ServletRequest request,ServletResponse response,FilterChain chain): 对每个请求及响应增加的额外处理。该方法可以实现对用户请求进行预处理(ServletRequest request)，也可实现对服务器响应进行后处理(ServletResponse response)—它们的分界线为是否调用了chain.doFilter(),执行该方法之前，即对用户请求进行预处理；执行该方法之后，即对服务器响应进行后处理。

Filter应用场景

使用filter支持跨域资源访问

@Component
public class SimpleCORSFilter implements Filter {
   @Override
   public void init(FilterConfig filterConfig) throws ServletException {

  }

  @Override
   public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws >IOException, ServletException {
       HttpServletResponse res = (HttpServletResponse) response;
       res.setHeader("Access-Control-Allow-Origin", "*");
       res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, PUT, DELETE");
       res.setHeader("Access-Control-Max-Age", "3600");
       res.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, >Authorization");
       res.setHeader("Access-Control-Expose-Headers", "Content-Disposition, Authorization-info, Stale");
       chain.doFilter(request, response);
   }

   @Override
   public void destroy() {

   }

}

使用Filter过滤器实现禁用缓存

@Component
public class NoCacheFilter implements Filter{  
 
   @Override  
   public void destroy() {  
           
   }  
 
   @Override  
   public void doFilter(ServletRequest req, ServletResponse res,  
           FilterChain chain) throws IOException, ServletException {  
   HttpServletRequest request=(HttpServletRequest) req;  
   HttpServletResponse response=(HttpServletResponse) res;  
 
   response.setDateHeader("Expires", -1);  
   response.setHeader("Cache-Control", "no-cache");  
      
   chain.doFilter(request, response);                    
   }  
 
   @Override  
   public void init(FilterConfig filterConfig) throws ServletException {  
                  
   }  
 
}  

使用Filter防止脚本攻击

/** 
* SelfDefineInvalidCharacterFilter：过滤request请求中的非法字符，防止脚本攻击 
*/  
@Component
public class SelfDefineInvalidCharacterFilter implements Filter{  
 
   public void destroy() {  
         
   }  
 
   public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws I>OException, ServletException {  
       String parameterName = null;  
       String parameterValue = null;  
       // 获取请求的参数  
       @SuppressWarnings("unchecked")  
       Enumeration<String> allParameter = request.getParameterNames();  
       while(allParameter.hasMoreElements()){  
          parameterName = allParameter.nextElement();  
           parameterValue = request.getParameter(parameterName);  
           if(null != parameterValue){  
               for(String str : invalidCharacter){  
                   if (StringUtils.containsIgnoreCase(parameterValue, str)){  
                       request.setAttribute("errorMessage", "非法字符：" + str);  
                       RequestDispatcher requestDispatcher = request.getRequestDispatcher("/error.jsp");  
                       requestDispatcher.forward(request, response);  
                       return;  
                   }  
              }  
           }  
       }  
       filterChain.doFilter(request, response); // 执行目标资源，放行  
   }  
 
   public void init(FilterConfig filterConfig) throws ServletException {  
         
   }  
   // 需要过滤的非法字符  
   private static String[] invalidCharacter = new String[]{  
       "script","select","insert","document","window","function",  
       "delete","update","prompt","alert","create","alter",  
       "drop","iframe","link","where","replace","function","onabort",  
       "onactivate","onafterprint","onafterupdate","onbeforeactivate",  
       "onbeforecopy","onbeforecut","onbeforedeactivateonfocus",  
       "onkeydown","onkeypress","onkeyup","onload",  
       "expression","applet","layer","ilayeditfocus","onbeforepaste",  
       "onbeforeprint","onbeforeunload","onbeforeupdate",  
       "onblur","onbounce","oncellchange","oncontextmenu",  
       "oncontrolselect","oncopy","oncut","ondataavailable",  
       "ondatasetchanged","ondatasetcomplete","ondeactivate",  
       "ondrag","ondrop","onerror","onfilterchange","onfinish","onhelp",  
       "onlayoutcomplete","onlosecapture","onmouse","ote",  
       "onpropertychange","onreadystatechange","onreset","onresize",  
       "onresizeend","onresizestart","onrow","onscroll",  
       "onselect","onstaronsubmit","onunload","IMgsrc","infarction"  
   };  
 
}  

拦截器（Interceptor）

在AOP中用于在某个方法或字段被访问之前，进行拦截，然后在之前或之后加入某些操作。拦截是AOP的一种实现策略。
在SpringMVC 中定义一个Interceptor主要有两种方式

• 第一种方式是实现HandlerInterceptor接口，或者是继承实现了HandlerInterceptor接口的类，比如Spring 已经提供的实现了HandlerInterceptor接口的抽象类HandlerInterceptorAdapter
• 第二种方式是实现WebRequestInterceptor接口，或者是继承实现了WebRequestInterceptor的类。

Interceptor有三个方法

• preHandle (HttpServletRequest request, HttpServletResponse response, Object handle)
  该方法将在请求处理之前进行调用。SpringMVC中的Interceptor是链式的调用的，在一个应用中或者说是在一个请求中可以同时存在多个Interceptor。每个Interceptor的调用会依据它的声明顺序依次执行，而且最先执行的都是Interceptor中的preHandle 方法，所以可以在这个方法中进行一些前置初始化操作或者是对当前请求的一个预处理，也可以在这个方法中进行一些判断来决定请求是否要继续进行下去。
  该方法的返回值是布尔值Boolean类型的，当它返回为false时，表示请求结束，后续的Interceptor和Controller 都不会再执行；当返回值为true 时就会继续调用下一个Interceptor的preHandle方法，如果已经是最后一个Interceptor的时候就会是调用当前请求的Controller方法。

• postHandle (HttpServletRequest request, HttpServletResponse response, Object handle, ModelAndView modelAndView)
  postHandle只能是在当前所属的Interceptor的preHandle方法的返回值为true时才能被调用。postHandle 方法，顾名思义就是在当前请求进行处理之后，也就是Controller 方法调用之后执行，但是它会在DispatcherServlet 进行视图返回渲染之前被调用，所以我们可以在这个方法中对Controller处理之后进行操作。postHandle方法被调用的方向跟preHandle 是相反的，也就是说先声明的Interceptor的postHandle 方法反而会后执行.

• afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handle, Exception ex)
  该方法也是需要当前对应的Interceptor的preHandle方法的返回值为true时才会执行。顾名思义，该方法将在整个请求结束之后，也就是在DispatcherServlet 渲染了对应的视图之后执行。这个方法的主要作用是用于进行资源清理工作的。

应用场景

日志拦截器

/**
* 用于记录日志，在每次请求之前，打印请求的地址和参数，方便调试
*/

public class LogInterceptor implements HandlerInterceptor {

   /** 记录日志 */
   private static Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);

   @Override
   public boolean preHandle(HttpServletRequest request，HttpServletResponse response, Object handler) >throws Exception {
       StringBuilder sb = new StringBuilder();
       String uri = request.getRequestURI();
       sb.append("---------------> demo uri:").append(uri).append(" - ");

       Enumeration<String> enums2 = request.getParameterNames();
       while (enums2.hasMoreElements()) {
           String key = enums2.nextElement();
           sb.append("\"").append(key).append("\":").append(
                   request.getParameter(key)).append(", ");
       }
       logger.info(sb.toString());
       return true;
   }   

   @Override
   public void postHandle(HttpServletRequest request，HttpServletResponse response, Object handler, >ModelAndView modelAndView)throws Exception {

   }

   @Override
   public void afterCompletion(HttpServletRequest request，HttpServletResponse response, Object >handler, Exception ex) throws Exception {

   }
}

拦截器（Interceptor）和过滤器（Filter）的区别

Spring的Interceptor(拦截器)与Servlet的Filter有相似之处，比如二者都是AOP编程思想的体现，都能实现权限检查、日志记录等。不同的是：