Java Web 过滤器Filter：原理、实践与避坑指南

在构建健壮的 Java Web 应用时，经常需要对请求进行预处理或后处理，例如权限校验、日志记录、字符编码转换等。这时候，Servlet Filter 过滤器就派上了大用场。它就像一道道关卡，拦截 HTTP 请求和响应，在它们到达目标 Servlet 之前或之后进行处理。尤其在高并发场景下，合理使用 Filter 能有效减轻后端服务器的压力，提高系统的整体性能。

Filter 底层原理深度剖析

Servlet Filter 基于责任链模式，可以配置多个 Filter 形成一个 Filter 链。当客户端请求到达服务器时，请求会依次通过 Filter 链中的每个 Filter，执行相应的过滤操作。每个 Filter 都可以决定是否将请求传递给下一个 Filter 或目标 Servlet。最终，响应也会按照相反的顺序通过 Filter 链。

javax.servlet.Filter 接口是所有 Filter 的基接口，它定义了三个核心方法：

• init(FilterConfig filterConfig)：在 Filter 被创建时调用，用于初始化 Filter，可以读取 Filter 的配置参数。
• doFilter(ServletRequest request, ServletResponse response, FilterChain chain)：Filter 的核心方法，用于执行过滤操作。FilterChain 对象用于将请求传递给 Filter 链中的下一个 Filter 或目标 Servlet。
• destroy()：在 Filter 被销毁时调用，用于释放 Filter 占用的资源。

Filter 的生命周期

Filter 的生命周期由 Servlet 容器（例如 Tomcat 或 Jetty）管理。容器在启动时创建 Filter 实例，并调用 init() 方法进行初始化。在请求到达时，容器调用 doFilter() 方法执行过滤操作。当容器关闭或重新加载 Web 应用时，会调用 destroy() 方法销毁 Filter 实例。

与 Interceptor (拦截器) 的区别

不少开发者容易将 Filter 与 Spring 的 Interceptor 混淆。虽然它们都可以拦截请求，但作用范围和应用场景有所不同：

• Filter 是 Servlet 规范的一部分，作用于 Servlet 容器级别，拦截的是所有的 Servlet 请求。而 Interceptor 是 Spring 框架提供的，作用于 Spring MVC 框架级别，拦截的是 Controller 方法的调用。
• Filter 的执行顺序依赖于 web.xml 或 @WebFilter 注解的配置顺序。而 Interceptor 的执行顺序可以通过实现 Ordered 接口或使用 @Order 注解来控制。
• Interceptor 可以访问 Spring 容器中的 Bean，而 Filter 则不能直接访问 Spring 容器。

在实际应用中，如果需要对所有 Servlet 请求进行统一处理，例如字符编码转换、XSS 攻击防御等，可以使用 Filter。如果只需要对特定的 Controller 方法进行拦截，例如权限校验、日志记录等，可以使用 Interceptor。

Filter 的代码与配置实践

下面是一个简单的 Filter 示例，用于记录每个请求的 URL 和执行时间：

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@WebFilter("/*") // 拦截所有请求
public class RequestLogFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化操作，可以读取 Filter 的配置参数
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String url = httpRequest.getRequestURI();
        long startTime = System.currentTimeMillis();

        try {
            chain.doFilter(request, response); // 将请求传递给下一个 Filter 或目标 Servlet
        } finally {
            long endTime = System.currentTimeMillis();
            System.out.println("Request URL: " + url + ", execution time: " + (endTime - startTime) + "ms");
        }
    }

    @Override
    public void destroy() {
        // 销毁操作，释放资源
    }
}

基于注解配置

使用 @WebFilter 注解可以方便地配置 Filter，避免了在 web.xml 中进行繁琐的配置。上面的例子中，@WebFilter("/*") 表示拦截所有请求。也可以指定拦截特定的 URL 模式，例如 @WebFilter("/api/*") 表示拦截所有以 /api/ 开头的请求。

基于 web.xml 配置

除了使用注解，还可以在 web.xml 文件中配置 Filter。这种方式更加灵活，可以配置 Filter 的初始化参数。例如：

<filter>
    <filter-name>RequestLogFilter</filter-name>
    <filter-class>com.example.RequestLogFilter</filter-class>
    <init-param>
        <param-name>logLevel</param-name>
        <param-value>DEBUG</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>RequestLogFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

在 Filter 中可以通过 filterConfig.getInitParameter("logLevel") 方法读取初始化参数。

实战避坑经验总结

• Filter 的顺序至关重要：Filter 链中的 Filter 执行顺序会影响最终的处理结果。例如，字符编码转换 Filter 应该放在最前面，以确保后续的 Filter 和 Servlet 能够正确处理请求参数。 尤其在使用诸如 Shiro 这样的权限框架时，需要仔细考虑 Filter 的顺序，避免出现权限绕过的问题。
• 避免过度设计：不要为了使用 Filter 而使用 Filter，避免创建过多的 Filter 导致性能下降。尤其是对于一些简单的操作，例如日志记录，可以使用 AOP 或 Interceptor 来实现。
• 处理好异常：在 Filter 中捕获异常，避免异常向上抛出导致请求中断。可以使用 try-catch 块捕获异常，并记录日志或返回友好的错误提示。
• 性能优化：Filter 会对每个请求都进行处理，因此需要注意性能优化。避免在 Filter 中进行耗时的操作，例如数据库查询或远程调用。可以使用缓存来提高性能。也可以考虑使用异步 Filter 来处理一些非关键性的操作。

高并发场景下的 Filter 应用

在高并发场景下，可以使用 Filter 来进行流量控制、请求限流等操作，防止系统被恶意攻击或过载。例如，可以使用 Redis 来实现一个简单的请求限流 Filter，限制每个用户的请求频率。

此外，还可以利用 Filter 来实现一些安全策略，例如防止 CSRF 攻击、XSS 攻击等，提高系统的安全性。当然，在高并发场景下，也需要考虑 Filter 的性能问题，可以使用一些性能优化技术，例如缓存、异步处理等。