或许,servlet API的2.3版本中最重要的一个新功能就是能够为servlet和JSP页面定义过滤器。过滤器提供了某些早期服务器所支持的非标准“servlet链接”的一种功能强大且标准的替代品。 过滤器是一个程序,它先于与之相关的servlet或JSP页面运行在服务器上。过滤器可附加到一个或多个servlet或JSP页面上,并且可以检查进入这些资源的请求信息。在这之后,过滤器可以作如下的选择: l 以常规的方式调用资源(即,调用servlet或JSP页面)。 l 利用修改过的请求信息调用资源。 l 调用资源,但在发送响应到客户机前对其进行修改 l 阻止该资源调用,代之以转到其他的资源,返回一个特定的状态代码或生成替换输出。 过滤器提供了几个重要好处。 首先,它以一种模块化的或可重用的方式封装公共的行为。你有30个不同的serlvet或JSP页面,需要压缩它们的内容以减少下载时间吗?没问题:构造一个压缩过滤器(参阅第11节),然后将它应用到30个资源上即可。 其次,利用它能够将高级访问决策与表现代码相分离。这对于JSP特别有价值,其中一般希望将几乎整个页面集中在表现上,而不是集中在业务逻辑上。例如,希望阻塞来自某些站点的访问而不用修改各页面(这些页面受到访问限制)吗?没问题:建立一个访问限制过滤器(参阅第8节)并把它应用到想要限制访问的页面上即可。 最后,过滤器使你能够对许多不同的资源进行批量性的更改。你有许多现存资源,这些资源除了公司名要更改外其他的保持不变,能办到么?没问题:构造一个串替换过滤器(参阅第10节),只要合适就使用它。 但要注意,过滤器只在与servlet规范2.3版兼容的服务器上有作用。如果你的Web应用需要支持旧版服务器,就不能使用过滤器。 1. 建立基本过滤器 建立一个过滤器涉及下列五个步骤: 1)建立一个实现Filter接口的类。这个类需要三个方法,分别是:doFilter、init和destroy。doFilter方法包含主要的过滤代码(见第2步),init方法建立设置操作,而destroy方法进行清楚。 2)在doFilter方法中放入过滤行为。doFilter方法的第一个参数为ServletRequest对象。此对象给过滤器提供了对进入的信息(包括表单数据、cookie和HTTP请求头)的完全访问。第二个参数为ServletResponse,通常在简单的过滤器中忽略此参数。最后一个参数为FilterChain,如下一步所述,此参数用来调用servlet或JSP页。 3)调用FilterChain对象的doFilter方法。Filter接口的doFilter方法取一个FilterChain对象作为它的一个参数。在调用此对象的doFilter方法时,激活下一个相关的过滤器。如果没有另一个过滤器与servlet或JSP页面关联,则servlet或JSP页面被激活。 4)对相应的servlet和JSP页面注册过滤器。在部署描述符文件(web.xml)中使用filter和filter-mapping元素。 5)禁用激活器servlet。防止用户利用缺省servlet URL绕过过滤器设置。 1.1 建立一个实现Filter接口的类 所有过滤器都必须实现javax.servlet.Filter。这个接口包含三个方法,分别为doFilter、init和destroy。 l public void doFilter(ServletRequset request, ServletResponse response, FilterChain chain) thows ServletException, IOException 每当调用一个过滤器(即,每次请求与此过滤器相关的servlet或JSP页面)时,就执行其doFilter方法。正是这个方法包含了大部分过滤逻辑。 第一个参数为与传入请求有关的ServletRequest。对于简单的过滤器,大多数过滤逻辑是基于这个对象的。如果处理HTTP请求,并且需要访问诸如getHeader或getCookies等在ServletRequest中无法得到的方法,就要把此对象构造成HttpServletRequest。 第二个参数为ServletResponse。除了在两个情形下要使用它以外,通常忽略这个参数。首先,如果希望完全阻塞对相关servlet或JSP页面的访问。可调用response.getWriter并直接发送一个响应到客户机。第7节给出详细内容,第8节给出一个例子。其次,如果希望修改相关的servlet或JSP页面的输出,可把响应包含在一个收集所有发送到它的输出的对象中。然后,在调用serlvet或JSP页面后,过滤器可检查输出,如果合适就修改它,之后发送到客户机。详情请参阅第9节。 DoFilter的最后一个参数为FilterChain对象。对此对象调用doFilter以激活与servlet或JSP页面相关的下一个过滤器。如果没有另一个相关的过滤器,则对doFilter的调用激活servlet或JSP本身。 l public void init(FilterConfig config) thows ServletException init方法只在此过滤器第一次初始化时执行,不是每次调用过滤器都执行它。对于简单的过滤器,可提供此方法的一个空体,但有两个原因需要使用init。首先,FilterConfig对象提供对servlet环境及web.xml文件中指派的过滤器名的访问。因此,普遍的办法是利用init将FilterConfig对象存放在一个字段中,以便doFilter方法能够访问servlet环境或过滤器名。这种处理在第3节描述。其次,FilterConfig对象具有一个getInitParameter方法,它能够访问部署描述符文件(web.xml)中分配的过滤器初始化参数。初始化参数的使用在第5节中描述。 l public void destroy( ) 此方法在利用一个给定的过滤器对象永久地终止服务器(如关闭服务器)时调用。大多数过滤器简单地为此方法提供一个空体,不过,可利用它来完成诸如关闭过滤器使用的文件或数据库连接池等清除任务。 1.2 将过滤行为放入doFilter方法 doFilter方法为大多数过滤器地关键部分。每当调用一个过滤器时,都要执行doFilter。对于大多数过滤器来说,doFilter执行的步骤是基于传入的信息的。因此,可能要利用作为doFilter的第一个参数提供的ServletRequest。这个对象常常构造为HttpServletRequest类型,以提供对该类的更特殊方法的访问。 1.3 调用FilterChain对象的doFilter方法 Filter接口的doFilter方法以一个FilterChain对象作为它的第三个参数。在调用该对象的doFilter方法时,激活下一个相关的过滤器。这个过程一般持续到链中最后一个过滤器为止。在最后一个过滤器调用其FilterChain对象的doFilter方法时,激活servlet或页面自身。 但是,链中的任意过滤器都可以通过不调用其FilterChain的doFilter方法中断这个过程。在这样的情况下,不再调用JSP页面的serlvet,并且中断此调用过程的过滤器负责将输出提供给客户机。详情请参阅第7节。 1.4 对适当的servlet和JSP页面注册过滤器 部署描述符文件的2.3版本引入了两个用于过滤器的元素,分别是:filter和filter-mapping。filter元素向系统注册一个过滤对象,filter-mapping元素指定该过滤对象所应用的URL。 1.filter元素 filter元素位于部署描述符文件(web.xml)的前部,所有filter-mapping、servlet或servlet-mapping元素之前。filter元素具有如下六个可能的子元素: l icon 这是一个可选的元素,它声明IDE能够使用的一个图象文件。 l filter-name 这是一个必需的元素,它给过滤器分配一个选定的名字。 l display-name 这是一个可选的元素,它给出IDE使用的短名称。 l description 这也是一个可选的元素,它给出IDE的信息,提供文本文档。 l filter-class 这是一个必需的元素,它指定过滤器实现类的完全限定名。 l init-param 这是一个可选的元素,它定义可利用FilterConfig的getInitParameter方法读取的初始化参数。单个过滤器元素可包含多个init-param元素。 请注意,过滤是在serlvet规范2.3版中初次引入的。因此,web.xml文件必须使用DTD的2.3版本。下面介绍一个简单的例子:
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" ""> MyFilter myPackage.FilterClass
...
2.filter-mapping元素 filter-mapping元素位于web.xml文件中filter元素之后serlvet元素之前。它包含如下三个可能的子元素:: l filter-name 这个必需的元素必须与用filter元素声明时给予过滤器的名称相匹配。 l url-pattern 此元素声明一个以斜杠(/)开始的模式,它指定过滤器应用的URL。所有filter-mapping元素中必须提供url-pattern或servlet-name。但不能对单个filter-mapping元素提供多个url-pattern元素项。如果希望过滤器适用于多个模式,可重复整个filter-mapping元素。 l servlet-name 此元素给出一个名称,此名称必须与利用servlet元素给予servlet或JSP页面的名称相匹配。不能给单个filter-mapping元素提供多个servlet-name元素项。如果希望过滤器适合于多个servlet名,可重复这个filter-mapping元素。 下面举一个例子:
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" ""> MyFilter myPackage.FilterClass
/** Servlet that simply redirects users to the * Web application home page. Registered with the * default servlet URL to prevent clients from * using ServletName * to bypass filters or security settings that * are associated with custom URLs. */
public class RedirectorServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.sendRedirect(request.getContextPath()); }
import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import java.util.*; // For Date class
/** Simple filter that prints a report in the log file * whenever the associated servlets or JSP pages * are accessed. */
public class LogFilter implements Filter { protected FilterConfig config; private ServletContext context; private String filterName; public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException { HttpServletRequest req = (HttpServletRequest)request; context.log(req.getRemoteHost() + " tried to access " + req.getRequestURL() + " on " + new Date() + ". " + "(Reported by " + filterName + ".)"); chain.doFilter(request,response); }
public void init(FilterConfig config) throws ServletException { this.config = config; // In case it is needed by subclass. context = config.getServletContext(); filterName = config.getFilterName(); }
public void destroy() {}
}
程序清单9-8 web.xml(针对日志记录过滤器的摘录)
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "">
/** Filter that keeps track of accesses that occur * at unusual hours. */ public class LateAccessFilter implements Filter { private FilterConfig config; private ServletContext context; private int startTime, endTime; private DateFormat formatter; public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException { HttpServletRequest req = (HttpServletRequest)request; GregorianCalendar calendar = new GregorianCalendar(); int currentTime = calendar.get(calendar.HOUR_OF_DAY); if (isUnusualTime(currentTime, startTime, endTime)) { context.log("WARNING: " + req.getRemoteHost() + " accessed " + req.getRequestURL() + " on " + formatter.format(calendar.getTime())); } chain.doFilter(request,response); }
public void init(FilterConfig config) throws ServletException { this.config = config; context = config.getServletContext(); formatter = DateFormat.getDateTimeInstance(DateFormat.MEDIUM, DateFormat.MEDIUM); try { startTime = Integer.parseInt(config.getInitParameter("startTime")); endTime = Integer.parseInt(config.getInitParameter("endTime")); } catch(NumberFormatException nfe) { // Malformed or null // Default: access at or after 10 p.m. but before 6 a.m. // is considered unusual. startTime = 22; // 10:00 p.m. endTime = 6; // 6:00 a.m. } }
public void destroy() {}
// Is the current time between the start and end // times that are marked as abnormal access times?
private boolean isUnusualTime(int currentTime, int startTime, int endTime) { // If the start time is less than the end time (i.e., // they are two times on the same day), then the // current time is considered unusual if it is // between the start and end times. if (startTime < endTime) { return((currentTime >= startTime) && (currentTime < endTime)); } // If the start time is greater than or equal to the // end time (i.e., the start time is on one day and // the end time is on the next day), then the current // time is considered unusual if it is NOT between // the end and start times. else { return(!isUnusualTime(currentTime, endTime, startTime)); } } }
程序清单9-10 web.xml(针对访问时过滤器的摘录)
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "">