什么是Servlet過濾器(filter)?
Servlet 過濾器是小型的 Web 組件,可以鏈在Servlet容器的處理過程中,攔截請求和響應,檢查和修在客戶機和Web應用程序之間交換的數據。這意味著過濾器會在Servlet處理之前訪問一個進入的請求,并在外發的響應回到客戶前訪問這些信息。
過濾器可以被添加到請求/響應鏈中,或者在無需影響應用程序中其他 Web 組件的情況下刪除它們。過濾器僅只是改動請求和響應的運行時處理,因而不應該將它們直接嵌入 Web 應用程序框架。
Servlet可以與一個或者多個過濾器相關聯,后者將形成一個過濾器鏈。

編寫一個 Servlet 過濾器
實現一個 Servlet 過濾器需要三個步驟:首先要編寫過濾器實現類的程序,然后要把該過濾器添加到 Web 應用程序中(通過在 Web 部署描述符 web.xml 中聲明它),最后要把過濾器與應用程序一起打包部署。

1. 編寫實現類的程序
過濾器 API 一共包含 3 個簡單的接口:Filter、FilterChain 和 FilterConfig。過濾器類必須需要實現 Filter 接口:

init():這個方法在容器實例化過濾器時被調用,它主要設計用于使過濾器為處理做準備。容器為這個方法傳遞一個FilterConfig對象,其中包含著配置信息。
doFilter():過濾器擁有單個用于處理請求和響應的方法——doFilter()。這個方法接受三個輸入參數:一個 ServletRequest、response 和一個 FilterChain 對象。FilterChain對于正確的過濾操作至關重要。doFilter()方法必須調用FilterChain的doFilter()方法,除非該方法用來攔截以后的下游處理。注意:過濾器的一個實例可以同時服務于多個請求,意味著任何共享的變量都必須通過同步塊(synchronized block)來訪問。
destroy():該方法由容器在銷毀過濾器實例之前調用。
例1 演示了一個簡單的過濾器,用來計算一個客戶機的 Web 請求所花的大致時間。 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
 
package cc.ejb.examples;
import java.io.IOException;
import java.io.StringWriter;
import java.io.PrintWriter;
import java.util.Date;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
public class PageTimerFilter implements Filter 
{
 private FilterConfig config = null;
 public void init(FilterConfig config) throws ServletException 
 {  
  this.config = config;
 }
 public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException
 {
  Date startTime, endTime;
  double duration;
  startTime = new Date();
  // Forward the request to the next resource in the chain
  chain.doFilter(request, response);
  // Calculate the duration between the start time and end time
  endTime = new Date();
  duration = (endTime.getTime() - startTime.getTime())/1000;//Convert from milliseconds to seconds
  StringWriter sw = new StringWriter();
  PrintWriter writer = new PrintWriter(sw);
  writer.println();
  writer.println("===============");
  writer.println("Total elapsed time is: " + duration + " seconds.");
  writer.println("===============");
  // Log the resulting string
  writer.flush();
  config.getServletContext().log(sw.getBuffer().toString());
 }
 public void destroy() {
  this.config=null;
 }
}

在doFilter()方法實現中,出現在FilterChain的doFilter()方法調用之前的代碼都被看成是預處理,Web資源(包括其他過濾器、Servlet等等)所做的處理還沒有發生。而在該方法之后的代碼則是后期處理,這時外發的響應信息已經包含了Web資源的完整響應。也就是說,FilterChain的doFilter()將調用接下來的過濾器(在有鏈式關系的時候)或者其他Web資源。

2. 配置 Servlet 過濾器和配置Servlet類似,過濾器通過 web.xml 文件中的兩個 XML 標簽<filter>和<filter-name>來聲明。<filter>標簽負責把一個過濾器名和一個特定的類關聯起來,這種關聯是通過<filter-name>和<filter-class>元素指定。其 DTD定義如下: 
1
 
(((description*,display-name*,icon*)),filter-name,filter-class,init-param*)

可以為過濾器指定初始化參數,和Servlet類似,參數是使用<inti-param>和成對的<param-name>和<param-value>來指定的,如下所示: 
1
2
3
4
 
<init-param>
    <param-name>counter</param-name>
       <param-value>100</param-value>
</init-param>

例 2 顯示了 web.xml 文件,它展示了如何聲明過濾器的包含關系: 
1
2
3
4
5
6
7
8
 
 <filter>
  <filter-name>Page Timers</filter-name>
  <filter-class>cc.ejb.examples.PageTimerFilter</filter-class>
 </filter>
 <filter-mapping>
  <filter-name>Page Timers</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>

<filter>必須有一個<ulr-pattern>或者<servlet-name>元素。我們可以通過<ulr-pattern>來指定通配符,將過濾器應用到Web資源范圍,在上面的例子中,Page Timer過濾器被應用到每個Web資源。也可以通過<servlet-name>將過濾器指定到某一個特定的Servlet上。應該注意這些聲明的順序,所引用的過濾器名必須在前面的過濾器定義給出。

3. 部署 Servlet 過濾器事實上, 部署過濾器是非常簡單的事情。只需把過濾器類和其他 Web 組件類包括在一起,并像通常所做的那樣把 web.xml 文件(連同過濾器定義和過濾器映射聲明)放進 Web 應用程序結構中,servlet 容器將處理之后的其他所有事情。

Servlet 2.4中的新特性
我們通過下面的例子來研究Servlet 2.4的新特性。例3和例4是兩個很簡單的程序片斷,JSP程序將來自客戶的請求forward到Thank.html。 
1
2
3
4
5
6
 
<%@ page language="java" %>
<html>  
<body>
<jsp:forward page="/Thank.html"/>
</body>
</html>


1
2
3
4
5
 
<html>
  <body>
    Thank you for coming Filter worlds<br>
  </body>
</html>

將這兩個程序和上面的過濾器一起打包部署并運行Test.jsp,我們發現控制臺只有一行而不是兩行輸出: 
1
2
3
4
 
11:06:57,045 INFO  [Engine] StandardContext[/Test]
===============
Total elapsed time is: 0.0 seconds.
===============

因為,在Servlet 2.3 規范中的過濾器只能過濾 Web 客戶機和其所訪問的指定 Web 資源之間的內容。如果該資源然將請求調度給其他 Web 資源(這里是Thank.html),就不能向幕后委托的任何請求應用過濾器。

2.4 規范消除了這個限制,通過增強filter和request dispatcher的配合,過濾器可以根據請求分發器(request dispatcher)所使用的方法有條件地對Web請求進行過濾。該功能是通過中的元素來實現的:

只有當request直接來自客戶,過濾器才生效,對應為REQUEST條件。
只有當request被一個請求分發器使用forward()方法轉到一個Web構件時(采用或定義),對應稱為FORWARD條件。
類似地,只有當request被一個請求分發器使用include()方法轉到一個Web構件時(采用或定義),對應稱為INCLUDE條件。
只有當request被一個請求分發器使用“錯誤信息頁”機制方法轉到一個Web構件時,對應稱為ERROR條件。
以上四種條件的組合使用。
修改之后web.xml的如下所示: 
1
2
3
4
5
6
7
8
9
10
 
 <filter>
  <filter-name>Page Timers</filter-name>
  <filter-class>cc.ejb.examples.PageTimerFilter</filter-class>
 </filter>
 <filter-mapping>
  <filter-name>Page Timers</filter-name>
  <url-pattern>/*</url-pattern>
  <dispatcher>REQUEST</dispatcher>
  <dispatcher>FORWARD</dispatcher>
 </filter-mapping>

再次部署運行這個Web應用,結果如下: 
1
2
3
4
5
6
7
8
 
11:17:51,165 INFO  [Engine] StandardContext[/Test]
===============
Total elapsed time is: 0.0 seconds.
===============
11:17:51,165 INFO  [Engine] StandardContext[/Test]
===============
Total elapsed time is: 10.0 seconds.
===============

過濾器的運用
在適合使用裝飾過濾器模式或者攔截器模式的任何地方,您都可以使用過濾器。過濾器的一些最普遍的應用如下:

加載:對于到達系統的所有請求,過濾器收集諸如瀏覽器類型、一天中的時間、轉發 URL 等相關信息,并對它們進行日志記錄。
性能:過濾器在內容通過線路傳來并在到達 servlet 和 JSP 頁面之前解壓縮該內容,然后再取得響應內容,并在將響應內容發送到客戶機機器之前將它轉換為壓縮格式。
安全:過濾器處理身份驗證令牌的管理,并適當地限制安全資源的訪問,提示用戶進行身份驗證和/或將他們指引到第三方進行身份驗證。過濾器甚至能夠管理訪問控制列表(Access Control List,ACL),以便除了身份驗證之外還提供授權機制。將安全邏輯放在過濾器中,而不是放在 servlet 或者 JSP 頁面中,這樣提供了巨大的靈活性。在開發期間,過濾器可以關閉(在 web.xml 文件中注釋掉)。在生產應用中,過濾器又可以再次啟用。此外還可以添加多個過濾器,以便根據需要提高安全、加密和不可拒絕的服務的等級。
會話處理:將 servlet 和 JSP 頁面與會話處理代碼混雜在一起可能會帶來相當大的麻煩。使用過濾器來管理會話可以讓 Web 頁面集中精力考慮內容顯示和委托處理,而不必擔心會話管理的細節。
XSLT 轉換:不管是使用移動客戶端還是使用基于 XML 的 Web 服務,無需把邏輯嵌入應用程序就在 XML 語法之間執行轉換的能力都絕對是無價的。