、`Filter Servlet XSS`攻擊等。如果我們使用的是傳統的Spring MVC進行開發,那麼只需要在Tomcat的web.xml文件中進行如下配置即可: PS:在容器啟動的時候,上面三個組件啟動的順序是Listener Filter Servlet,這邊安利一個記憶的方法:把啟動順序記 ...
Listener、Filter和Servlet是Java Web開發過程中常用的三個組件,其中Filter組件的使用頻率最高,經常被用來做簡單的許可權處理、請求頭過濾和防止XSS攻擊等。如果我們使用的是傳統的Spring MVC進行開發,那麼只需要在Tomcat的web.xml文件中進行如下配置即可:
<!-- 配置Listener -->
<listener>
<listener-class>org.springframework.web.util.WebAppRootListener</listener-class>
</listener>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!--配置Filter,這邊配置了一個Filter,但是匹配了多個url-pattern-->
<!-- 以url-partern方式配置的filter中,如果有多個與當前請求匹配,則按web.xml中filter-mapping出現的順序來運行-->
<filter>
<filter-name>filter1</filter-name>
<filter-class>com.csx.MyFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>filter1</filter-name>
<url-pattern>/url/a/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>filter1</filter-name>
<url-pattern>/url/b/*</url-pattern>
</filter-mapping>
<!--配置Servlet-->
<servlet>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:springmvc.spring.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<!-- 這邊不建議寫成/* -->
<url-pattern>/</url-pattern>
</servlet-mapping>PS:在容器啟動的時候,上面三個組件啟動的順序是Listener --> Filter --> Servlet,這邊安利一個記憶的方法:把啟動順序記憶成“理(Listener)發(Filter)師(Servlet)”即可。
在web.xml中配置這三個組件比較簡單,但是使用Spring-Boot開發時使用的是嵌入式容器,並沒有web.xml文件讓我們進行配置。那麼在Spring-Boot中到底要怎麼配置Listener、Filter和Servlet等組件呢?
本篇博客以Filter為列,介紹下在Spring-Boot中怎麼配置Listener、Filter和Servlet等組件。
方式一:將Filter聲明為bean
這邊我們先來自定義一個Filter,這個Filter的作用是統計一個介面的調用時間。
public class TimeConsumingCalculationFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest=(HttpServletRequest)request;
long startTime = System.nanoTime();
logger.info(">>>>>>> Begin ["+httpRequest.getRequestURI()+"]...");
try{
chain.doFilter(request, response);
}finally {
long endTime = System.nanoTime();
logger.info(">>>>>>> End ["+httpRequest.getRequestURI()+"]["+(endTime-startTime)/1000/1000.0+"ms].");
}
}
}在Spring-Boot中配置上面的Filter,我們只需要在@Configuration文件中做如下配置即可:
@Configuration
public class WebConfig {
private static Logger logger = LoggerFactory.getLogger(WebConfig.class);
@Bean
public Filter filter1(){
return new TimeConsumingCalculationFilter();
}
}上面的Filter預設會攔截所有請求。假如我們想要配置多個攔截器的話,只要再加一個Bean方法就可以了。
@Configuration
public class WebConfig {
private static Logger logger = LoggerFactory.getLogger(WebConfig.class);
@Bean
public Filter filter1(){
return new TimeConsumingCalculationFilter();
}
@Bean
public Filter filter2() {
return new TimeConsumingCalculationFilter2();
}
}上面的配置代碼配置了兩個Filter,兩個Filter預設都會攔截所有請求,攔截的順序是:filter1-->filter2。這邊的邏輯是先配置的Filter先攔截,後配置的Filter後攔截。當然,如果我們想明確指定攔截順序的話可以藉助@Order註解。但是需要註意的是這個註解一定要加在定義的類上面。
@Order(Ordered.LOWEST_PRECEDENCE - 2)
public class TimeConsumingCalculationFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
//your logic
}
}
@Order(Ordered.LOWEST_PRECEDENCE - 1)
public class TimeConsumingCalculationFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
//your logic
}
}PS: @Order中的value值越大,執行的優先順序越小。值越小,優先順序越大。當我們自定義執行順序的時候,建議使用
@Order(Ordered.LOWEST_PRECEDENCE - 1)這種形式配置,Ordered.LOWEST_PRECEDENCE減去的值越大,優先順序越高,這樣看起來比較直觀。
另外,Spring還提供了一個OrderedFilter介面,這個介面是Filter和Ordered的組合介面,原理和上面的是一樣的。大家可以看情況使用。
上面的這種配置方式優點是配置起來非常簡單,但是缺點也比較明顯,就是配置不夠靈活,預設會攔截所有請求。
方式二:@WebFilter方式
@WebFilter註解是Servlet中提供的註解,Spring也支持這個註解。@WebFilter能進行細粒度的進行配置,比上面的方式更加靈活。
@Configuration
public class WebConfig {
//可以自定義url-pattern
@WebFilter(urlPatterns="/*")
@Order(Ordered.LOWEST_PRECEDENCE - 2)
//這邊如果不加`@Configuration`,需要通過`@ServletComponentScan`掃描`Listener`、`Filter`和`Servlet`這三個組件
@Configuration
public class TimeConsumingCalculationFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
//your logic
}
}
@WebFilter(urlPatterns="/*")
@Order(Ordered.LOWEST_PRECEDENCE - 2)
//這邊如果不加`@Configuration`,需要通過`@ServletComponentScan`掃描`Listener`、`Filter`和`Servlet`這三個組件
@Configuration
public class TimeConsumingCalculationFilter2 implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
//your logic
}
}
}通過 @WebFilter 註解的方式配置Filter簡單,而且能夠自定義url-pattern和攔截順序。
方式三:使用FilterRegistrationBean配置
@Configuration
public class WebConfig {
private static Logger logger = LoggerFactory.getLogger(WebConfig.class);
@Bean
public FilterRegistrationBean<Filter> filter1() {
FilterRegistrationBean<Filter> registrationBean = new FilterRegistrationBean<>();
registrationBean.setName("filter1");
registrationBean.setOrder(Ordered.LOWEST_PRECEDENCE - 2);
registrationBean.setFilter(new TimeConsumingCalculationFilter());
registrationBean.addUrlPatterns("/foo/*");
return registrationBean;
}
@Bean
public FilterRegistrationBean<Filter> filter2() {
FilterRegistrationBean<Filter> registrationBean = new FilterRegistrationBean<>();
registrationBean.setName("filter2");
registrationBean.setOrder(Ordered.LOWEST_PRECEDENCE - 3);
registrationBean.setFilter(new TimeConsumingCalculationFilter1());
registrationBean.addUrlPatterns("/*");
registrationBean.addInitParameter("key1","value1");
registrationBean.addInitParameter("key2","value2");
//通過Servlet name匹配Filter,不建議使用
registrationBean.addServletNames("name1");
return registrationBean;
}
}註意點:
- FilterRegistrationBean 與 Filter 之間是一對一關係。
- 如果存在多個 FilterRegistrationBean 需要調用其 setName(String name) 為其聲明唯一名稱,否則只有第一個註冊成功的有效。
- 如果需要保證調用順序可通過調用其 setOrder(int order) 方法進行設置。
方式四:使用DelegatingFilterProxyRegistrationBean方式
@Configuration
public class WebConfig {
@Bean("myFilter")
//配置了DelegatingFilterProxyRegistrationBean後,這種方式配置的Filter不會生效了,只會攔截/foo/*的請求
public Filter myFilter(){
return new TimeConsumingCalculationFilter();
}
@Bean
public DelegatingFilterProxyRegistrationBean delegatingFilterProxyRegistrationBean(){
DelegatingFilterProxyRegistrationBean filterProxy = new DelegatingFilterProxyRegistrationBean("myFilter");
filterProxy.addUrlPatterns("/foo/*");
filterProxy.addInitParameter("targetFilterLifecycle","true");
filterProxy.addInitParameter("exclusions", "*.js,*.gif,*.jpg,*.png,*.css,*.ico");
filterProxy.setDispatcherTypes(DispatcherType.REQUEST);
return filterProxy;
}
}
FilterRegistrationBean和DelegatingFilterProxyRegistrationBean區別:
- FilterRegistrationBean通過onStartup方法直接註冊filter。
- DelegatingFilterProxyRegistrationBean是將DelegatingFilterProxy註冊到Servlet3.0+的容器中,同時實現了ApplicationContextAware介面,實例ApplicationContext通過通過傳入自定義filter的名稱查找對應的bean,並生成相應bean的代理對象。
觸類旁通
- 添加自定義Servlet 也可採用方法一@WebServlet 或者ServletRegistrationBean
- 添加自定義Listener也可以採用方法一 @WebListener或者ServletListenerRegistrationBean ,註意監聽事件是泛型
其他相關類
- ServletComponentRegisteringPostProcessor
- ServletComponentHandler
- WebListenerHandler
- WebFilterHandler
- WebServletHandler
參考
- https://blog.csdn.net/loveForever_xiang/article/details/101270633
- https://www.liangzl.com/get-article-detail-121998.html
- https://mp.weixin.qq.com/s/t8WdKEkYJuRApeEEOvXR_A
- https://blog.csdn.net/andy_zhang2007/article/details/90399870
