Servlet过滤器与封装器

　　在Servlet容器调用某个Servlet的service()方法前，Servlet并不会知道有请求的到来，而在Servlet的service()方法运行之后，容器真正对浏览器进行HTTP响应之前，浏览器也不会知道Servlet真正的响应是什么。过滤器正如其名称所示，它介于Servlet之前，可拦截过滤浏览器对Servlet的请求，也可以改变Servlet对浏览器的响应。本文将介绍过滤器的运用，了解如何实现Filter接口来编写过滤器，以及如何使用请求封装器及响应封装器，将容器产生的请求与响应对象加以包装，针对某些请求信息或响应进行加工处理。

1、过滤器的概念

　　想象已经开发好应用程序的主要商务功能了，但现在有几个需求出现：

　　(1)针对所有的servlet，产品经理想要了解从请求到响应之间的时间差。
　　(2)针对某些特定的页面，客户希望只有特定的几个用户有权浏览。
　　(3)基于安全的考量，用户输入的特定字符必须过滤并替换为无害的字符。
　　(4)请求与响应的编码从Big5改用UTF-8。

　　在修改源代码之前，先分析一下这些需求：

　　(1)在运行Servlet的service()方法“前”，记录起始时间，Servlet的service()方法运行“后”，记录结束时间并计算时间差。
　　(2)在运行Servlet的service()方法“前”，验证是否为允许的用户。
　　(3)在运行Servlet的service()方法“前”，对请求参数进行字符过滤与替换。
　　(4)在运行Servlet的service()方法“前”，对请求与响应对象设置编码。

　　经过以上分析，可以发现这些需求，可以在真正运行Servlet的service方法“前”与Servlet的service()方法“后”中间进行实现。如下图所示：

　　性能评测、用户验证、字符替换、编码设置等需求，基本上与应用程序的业务逻辑没有直接的关系，只是应用程序额外的元件服务之一。因此，这些需求应该设计为独立的元件，使之随时可以加入到应用程序中，也随时可以移除，或随时可以修改设置而不用修改原有的业务代码。这类元件就像是一个过滤器，安插在浏览器与Servlet中间，可以过滤请求与响应而作进一步的处理，如下图所示。

　　Servlet/JSP提供了过滤器机制让你实现这些元件服务，可以视 需求抽换过滤器或调整过滤器的顺序，也可以针对不同的URL应用不同的过滤器。甚至在不同的Servlet间请求转发或包含时应用过滤器。

2、实现并设置过滤器

　　在Servlet中要实现过滤器，必须实现Filter接口，并使用@WebFilter标注或在web.xml中定义过滤器，让容器知道该加载哪些过滤器类。Filter接口有三个要实现的方法：init()、doFilter()与destroy()。

package javax.servlet;import java.io.IOException;public interface Filter {    public void init(FilterConfig filterConfig) throws ServletException;    public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException;    public void destroy();}

　　FilterConfig类似于Servlet接口init()方法参数上的ServletConfig，FilterConfig是实现Filter接口的类上使用标注或web.xml中过滤器设置信息的代表对象。如果在定义过滤器时设置了初始参数，则可以通过FilterConfig的getInitParameter()方法来取得初始参数。

　　Filter接口的doFilter()方法则类似于Servlet接口的service()方法。当请求来到容器，而容器发现调用Servlet的service()方法前，可以应用某过滤器时，就会调用该过滤器的doFilter()方法。可以在doFilter()方法中进行service()方法的前置处理，而后决定是否调用FilterChain的doFilter()方法。如果调用了FilterChain的doFilter()方法，就会运行下一个过滤器，如果没有下一个过滤器，就调用请求目标Servlet的service()方法（这里实际上用到了责任链模式）。如果没有调用FilterChain的doFilter()方法，则请求就不会继续交给接下来的过滤器或目标Servlet，这就是所谓的拦截请求（从Servlet的角度来看，根本不知道浏览器有发出请求）。

　　以下是一个简单的性能评测过滤器，用来记录请求与响应的时间差。

@WebFilter(        filterName="PerformanceFilter",         urlPatterns={"/*"},        dispatcherTypes={            DispatcherType.FORWARD,            DispatcherType.INCLUDE,            DispatcherType.REQUEST,            DispatcherType.ERROR,DispatcherType.ASYNC        },        initParams={@WebInitParam(name="Site", value="菜鸟教程")}        )public class PerformanceFilter implements Filter {    private FilterConfig config;    public PerformanceFilter() {    }    public void destroy() {    }    public void doFilter(ServletRequest request, ServletResponse response,     FilterChain chain) throws IOException, ServletException {        long begin = System.currentTimeMillis();        chain.doFilter(request, response);        config.getServletContext().log("Performance process in " +                 (System.currentTimeMillis() - begin) + " milliseconds");        // 输出站点名称        System.out.println("站点网址：http://www.runoob.com");    }    public void init(FilterConfig fConfig) throws ServletException {        // 获取初始化参数        this.config = fConfig;        String site = config.getInitParameter("Site");         // 输出初始化参数        System.out.println("PerformanceFilter init done! 网站名称: " + site);     }}

　　当过滤器类被载入容器并实例化后，容器会运行其init()方法并传入FilterConfig对象作为参数。过滤器的设置与Servlet的设置很类似，@WebFilter中的filterName设置过滤器名称，urlPatterns设置哪些URL请求必须应用哪个过滤器，可应用的URL模式与Servlet基本上相同，而”/*“表示应用在所有的URL请求上。除了指定URL模式外，也可以指定Servlet名称，这可以通过@WebFilter的servletNames来设置：

@WebFilter(filterName="PerformanceFilter", servletNames={"Servlet1","Servlet2"})

　　如果想一次符合所有的Servlet名称，可以使用星号（*）。如果在过滤器初始化时，想要读取一些参数，可以在@WebFilter中使用@WebInitParam来设置initParams，例如：

@WebFilter(        filterName="EncodingFilter",        urlPatterns={"/encoding"},          initParams={                @WebInitParam(name="ENCODING", value="UTF-8")        })public class EncodingFilter implements Filter {    private String ENCODING;    private FilterConfig config;    public EncodingFilter() {    }    public void init(FilterConfig fConfig) throws ServletException {        // TODO Auto-generated method stub        config = fConfig;        ENCODING = config.getInitParameter("ENCODING");        // 输出初始化参数        System.out.println("EncodingFilter init done! ENCODING = " + ENCODING);     }    ...}

　　触发过滤器的时机，默认是浏览器直接发出请求时。如果是那些通过RequestDispatcher的forward()或include()发出的请求，需要设置@WebFilter的dispatcherTypes，例如：

@WebFilter(        filterName="some",         urlPatterns={"/some"},        dispatcherTypes={            DispatcherType.FORWARD,            DispatcherType.INCLUDE,            DispatcherType.REQUEST,            DispatcherType.ERROR,DispatcherType.ASYNC        })

　　如果不设置任何dispatcherTypes，则默认为REQUEST。FORWARD就是指通过RequestDispatcher的forward()方法而来的请求可以套用过滤器，INCLUDE是指通过RequestDispatcher的include方法而来的请求可以套用过滤器，ERROR是指由容器处理例外而转发过来的请求可以套用过滤器，ASYNC是指异步处理器的请求可以触发过滤器。

3、实现请求封装器

　　以下通过两个例子，来说明请求封装器的实现与应用，分别是特殊字符替换过滤器与编码设置过滤器。

　　1、实现字符替换过滤器
　　假设有个留言板程序已经上线并正常运行中，但是发现，有些用户会在留言中输入一些HTML标签。基于安全性的考虑，不希望用户输入的HTML标签直接出现在留言中而被一些浏览器当作HTML的一部分来解释。例如，并不希望用户在留言中输入<a href=”http://openhome.cc”>OpenHome.cc</a>这样的信息。不希望在留言显示中有超链接，希望将一些HTML字符过滤掉，如将<、>这样的角括号置换为HTML实体字符，可以使用过滤器的方式。但问题在于，虽然可以使用HttpServletRequest的getParameter()取得请求参数值，但是没有一个像setParameter()的方法，可以将处理过后的参数值重新设置给HttpServletRequest。

　　所幸，有个HttpServletRequestWrapper帮我们实现了HttpServletRequest接口，只要继承这个类，并编写想要重新定义的方法即可。相对应于ServletRequest接口，也有个ServletRequestWrapper类可以使用。

　　以下范例通过继承HttpServletRequestWrapper实现一个请求封装器，可以将请求参数中的HTML字符替换为HTML实体字符。

public class EscapeWrapper extends HttpServletRequestWrapper {    public EscapeWrapper(HttpServletRequest request) {        super(request);//必须调用父类构造器，将HttpServletRequest实例传入    }    @Override    public String getParameter(String name) {        String value = getRequest().getParameter(name);        return StringEscapeUtils.escapeHtml(value);           //将请求参数值进行字符替换    }}

　　之后若有Servlet想取得请求参数值，都会调用getParameter()方法，所以这里重新定义这个方法，在此方法中，进行字符替换动作。可以使用这个请求封装器搭配过滤器，以进行字符过滤的服务。例如：

@WebFilter(        filterName="EscapeFilter",        urlPatterns={"/guestbook"},        dispatcherTypes={                DispatcherType.FORWARD,                DispatcherType.INCLUDE,                DispatcherType.REQUEST,                DispatcherType.ERROR,DispatcherType.ASYNC            })public class EscapeFilter implements Filter {    private FilterConfig config;    public EscapeFilter() {    }    public void destroy() {        System.out.println("EscapeFilter calling done!");     }    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {        long begin = System.currentTimeMillis();        HttpServletRequest requestWrapper = new EscapeWrapper((HttpServletRequest)request);        chain.doFilter(requestWrapper, response);        config.getServletContext().log("Request escaping HTML tags in " +                 (System.currentTimeMillis() - begin) + " milliseconds");    }    public void init(FilterConfig fConfig) throws ServletException {        this.config = fConfig;        System.out.println("EscapeFilter init done!");     }}

　　2、实现编码设置过滤器
　　在之前的范例中，如果要设置请求字符编码，都是在个别Servlet中处理。可以在过滤器中进行字符编码的统一设置，如果日后想要改变编码，就不用每个Servlet逐一修改了。

　　由于HttpServletRequest的setCharacterEncoding()方法针对的是请求的Body内容，对于GET请求，必须在取得请求参数的字节阵列后，重新指定编码来解析。这个需求与上一个范例类似，可搭配请求封装器来实现。

public class EncodingWrapper extends HttpServletRequestWrapper {    private String ENCODING;    public EncodingWrapper(HttpServletRequest request, String ENCODING) {        super(request);        this.ENCODING = ENCODING;    }    @Override    public String getParameter(String name){        String value = getRequest().getParameter(name);        if(value != null) {            try {                //Web容器默认使用ISO-8859-1编码格式                byte[] b = value.getBytes("ISO-8859-1");                value = new String(b, ENCODING);            } catch(UnsupportedEncodingException e) {                throw new RuntimeException(e);            }        }        return value;    }}

　　编码过滤器的实现如下：

@WebFilter(        filterName="EncodingFilter",        urlPatterns={"/encoding"},        dispatcherTypes={                DispatcherType.FORWARD,                DispatcherType.INCLUDE,                DispatcherType.REQUEST,                DispatcherType.ERROR,DispatcherType.ASYNC            },                          initParams={                @WebInitParam(name="ENCODING", value="UTF-8")        })public class EncodingFilter implements Filter {    private String ENCODING;    private FilterConfig config;    public EncodingFilter() {    }    public void destroy() {    }    public void doFilter(ServletRequest request, ServletResponse response,    FilterChain chain) throws IOException, ServletException {        HttpServletRequest req = (HttpServletRequest)request;        if("GET".equals(req.getMethod())) {            long begin = System.currentTimeMillis();            req = new EncodingWrapper(req, ENCODING);            chain.doFilter(req, response);            config.getServletContext().log("GET Method Request Encoding process in " + (System.currentTimeMillis() - begin) + " milliseconds");        } else {            req.setCharacterEncoding(ENCODING);            chain.doFilter(req, response);        }    }    public void init(FilterConfig fConfig) throws ServletException {        config = fConfig;        ENCODING = config.getInitParameter("ENCODING");        // 输出初始化参数        System.out.println("EncodingFilter init done! ENCODING = " + ENCODING);     }}

　　请求参数的编码设置是通过过滤器初始参数来设置的，并在过滤器初始化方法init()中读取，过滤器仅在GET请求以创建EncodingWrapper实例，其他方法则通过HttpServletRequest的setCharacterEncoding()来设置编码，最后都调用FilterChain的doFilter()方法传入EncodingWrapper实例或原请求对象。

3、实现响应封装器

　　在Servlet中，是通过HttpServletResponse对象来对浏览器进行响应的，如果想要对响应的内容进行压缩处理，就要想办法让HttpServletResponse对象具有压缩处理的功能。前面介绍过请求封装器的实现，而在响应封装器的部分，可以继承HttpServletResponseWrapper类来对HttpServletResponse对象进行封装。

　　若要对浏览器进行输出响应，必须通过getWriter()取得PrintWriter，或是通过getOutputStream()取得ServletOutputStream。 所以针对压缩输出的需求，主要就是继承HttpServletResponseWrapper类之后，通过重新定义这两个方法来达成。

　　在下面例子中，压缩的功能采用GZIP格式，这是浏览器可以授受的压缩格式，可以使用GZIPOutputStream类来实现。由于getWriter()的PrintWriter在创建时，也是必须使用到ServletOutputStream，所以在这里先扩展ServletOutputStream类，让它具有压缩的功能。

public class GZipServletOutputStream extends ServletOutputStream {    private GZIPOutputStream gzipOutputStream;    public GZipServletOutputStream(ServletOutputStream servletOutputStream) throws IOException {        this.gzipOutputStream = new GZIPOutputStream(servletOutputStream);    }    @Override    public boolean isReady() {        return false;    }    @Override    public void setWriteListener(WriteListener listener) {    }    public GZIPOutputStream getGzipOutputStream(){        return gzipOutputStream;    }    @Override    public void write(int b) throws IOException {        gzipOutputStream.write(b);  //输出时通过gzipOutputStream来压缩输出    }}

　　在HttpServletResponse对象传入Servlet的service()方法前，必须先封装它，使得调用getOutputStream()时，可以取得这里所实现的GZipServletOutputStream对象，而调用getWriter()时，也可以利用GZipServletOutputStream对象来构造PrintWriter对象。

public class CompressionWrapper extends HttpServletResponseWrapper {    private GZipServletOutputStream gzServletOutputStream;    private PrintWriter printWriter;    public CompressionWrapper(HttpServletResponse response) {        super(response);    }     @Override    public ServletOutputStream getOutputStream() throws IOException {        //响应中已经调用过getWriter，再调用getOutputStream就抛出异常        if(printWriter != null) {            throw new IllegalStateException();        }        if(null == gzServletOutputStream) {            gzServletOutputStream =             new GZipServletOutputStream(getResponse().getOutputStream());        }        return gzServletOutputStream;    }     @Override     public PrintWriter getWriter() throws IOException {         //响应中已经调用过getOutputStream，再调用getWriter就抛出异常         if(gzServletOutputStream != null) {             throw new IllegalStateException();         }         if(null == printWriter) {             gzServletOutputStream = new GZipServletOutputStream(getResponse().getOutputStream());             OutputStreamWriter osw = new OutputStreamWriter(                     gzServletOutputStream, getResponse().getCharacterEncoding());             printWriter = new PrintWriter(osw);         }         return printWriter;     }     //不实现此方法，因为真正的输出会被压缩，忽略原来的内容长度设置     @Override     public void setContentLength(int len){     }      public GZIPOutputStream getGZIPOutputStream() {         if(this.gzServletOutputStream == null)             return null;         return this.gzServletOutputStream.getGzipOutputStream();     }}

　　在上例中要注意，由于Servlet规范中规定，在同一个请求期间，getWriter()与getOutputStream()只能择一调用，否则必抛出IllegalStateException，因此建议在实现响应封装器时，也遵循这个规范。因此在重新定义getOutputStream()与getWriter()方法时，分别要检查是否已经存在PrintWriter与ServletOutputStream实例。

　　接下来就实现一个压缩过滤器，使用上面开发的CompressionWrapper来封装原HttpServletResponse。

@WebFilter(        filterName="CompressionFilter",        urlPatterns = { "/*" })public class CompressionFilter implements Filter {    private FilterConfig config;    public CompressionFilter() {    }    public void destroy() {    }    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)     throws IOException, ServletException {        HttpServletRequest req = (HttpServletRequest)request;        HttpServletResponse res = (HttpServletResponse)response;        String encodings = req.getHeader("accept-encoding");        //检查是否接受压缩        if((encodings != null) && (encodings.indexOf("gzip") > -1)) {            long begin = System.currentTimeMillis();            CompressionWrapper responseWrapper = new CompressionWrapper(res);            responseWrapper.setHeader("content-encoding", "gzip");              //设置响应内容编码为gzip            chain.doFilter(request, responseWrapper);            GZIPOutputStream gzipOutputStream = responseWrapper.getGZIPOutputStream();            if(gzipOutputStream != null) {                gzipOutputStream.finish();                 //调用GZIPOutputStream的finish方法完成压缩输出            }            config.getServletContext().log("gzip compression process in " +                     (System.currentTimeMillis() - begin) + " milliseconds");        }        else {            chain.doFilter(request, response);             //不接受压缩直接进行下一个过滤器        }    }    public void init(FilterConfig fConfig) throws ServletException {        this.config = fConfig;        System.out.println("CompressionFilter init done!");     }}

　　浏览器是否接受GZIP压缩格式，可以通过检查accept-encoding请求标头中是否包括gzip字符串来判断。如果可以接受GZIP压缩，创建CompressionWrapper封装原响应对象，并设置content-encoding响应标头为gzip，这样浏览器就会知道响应内容是GZIP压缩格式。接着调用FilterChain的doFilter()时，传入响应对象为CompressionWrapper对象。当FilterChain的doFilter()结束时，必须调用GZIPOutputStream的finish()方法，这才会将GZIP后的资料从缓冲区全部移出并进行响应。

　　如果浏览器不接受GZIP压缩格式，则直接调用FilterChain的doFilter()，这样就可以让不接受GZIP压缩格式的客户端也可以收到原有的响应内容。