一、前言

一直想著寫一篇關(guān)于過濾器和攔截器，記得之前面試，面試官突然問了一個(gè)談?wù)勥^濾器和攔截器的區(qū)別。

當(dāng)時(shí)腦瓜子嗡嗡的，這個(gè)沒準(zhǔn)備過，咋辦，支支吾吾的說了先到過濾器在到攔截器。

直接被說，你連請(qǐng)求來了經(jīng)歷那些都不知道，怎么能行呢？

雖然這個(gè)是八股文，但是還是比較有內(nèi)容的，在項(xiàng)目中會(huì)使用到，在鑒權(quán)、日志記錄等！

從此之后，面試前第一件事，就是把過濾器和攔截器看一遍。

今天好好總結(jié)一下，不需要在看別人寫的了！

不能為了面試而學(xué)習(xí)，咱們是為了掌握好他們，咱們今天從概念--->場(chǎng)景--->實(shí)戰(zhàn)--->面試題。

一步步層層遞進(jìn)，不讓大家白白點(diǎn)開，一定是有所收獲！

執(zhí)行順序總體圖：

二、過濾器

1、概念

過濾器是一種在 Java Web 應(yīng)用中用于處理請(qǐng)求和響應(yīng)的組件。它可以攔截客戶端發(fā)起的請(qǐng)求，也可以攔截服務(wù)器返回的響應(yīng)，對(duì)它們進(jìn)行處理或者修改。

過濾器屬于Servlet規(guī)范的一部分，過濾器是用于執(zhí)行過濾任務(wù)的對(duì)象，它可以在請(qǐng)求到達(dá) Servlet 之前或響應(yīng)發(fā)送給客戶端之前執(zhí)行一些額外的邏輯。

2、應(yīng)用場(chǎng)景

日志記錄： 過濾器常用于記錄請(qǐng)求和響應(yīng)的日志，包括請(qǐng)求的路徑、參數(shù)、處理時(shí)間等信息。

身份驗(yàn)證和授權(quán)： 過濾器可以用于實(shí)現(xiàn)身份驗(yàn)證和授權(quán)邏輯，例如檢查用戶是否已登錄，是否具有足夠的權(quán)限訪問某個(gè)資源。

防御性編程： 過濾器可以用于對(duì)請(qǐng)求進(jìn)行安全檢查，防止?jié)撛诘墓?，比如阻止惡意?qǐng)求、XSS（跨站腳本攻擊）等。

性能監(jiān)控： 過濾器可以用于收集請(qǐng)求的處理時(shí)間、資源使用等信息，用于性能監(jiān)控和優(yōu)化。

3、核心方法

先說一下過濾器的三個(gè)核心方法：init 方法：在過濾器被創(chuàng)建并添加到容器時(shí)調(diào)用，在過濾器的生命周期中只被調(diào)用一次。doFilter 方法：是過濾器的核心方法，用于處理請(qǐng)求和響應(yīng)?？梢赃M(jìn)行前置處理、請(qǐng)求轉(zhuǎn)發(fā)或鏈的調(diào)用，以及后置處理。(FilterChain.doFilter)destroy 方法：在過濾器被銷毀前調(diào)用，用于進(jìn)行資源釋放和清理工作。在過濾器的生命周期中只被調(diào)用一次。

4、實(shí)戰(zhàn)

編寫自己的過濾器配置類： 會(huì)把web開頭的請(qǐng)求率先通過我們定義的過濾器，我們可以在里面進(jìn)行權(quán)限的校驗(yàn)、記錄日志等。

多個(gè)過濾器，需要有執(zhí)行順序可以使用Spring注解@Order，也可以使用@WebFilter(urlPatterns="/web/order/")，通過請(qǐng)求去到下一個(gè)符合條件的過濾器！

咱們使用的注解，需要在啟動(dòng)類加上掃描，不然過濾器是不會(huì)生效的！

@ServletComponentScan。

/**
 * @author wangzhenjun
 * @date 2023/11/22 15:34
 */
@Slf4j
@WebFilter("/web/*")
public class MyFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        log.info("用戶已經(jīng)認(rèn)證，繼續(xù)處理");
        log.info("用戶有權(quán)限，繼續(xù)處理");
        chain.doFilter(request, response);
        log.info("處理完成，放行之后");

    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

測(cè)試訪問，經(jīng)過了過濾器，來到我們的Controller，最后重新會(huì)到過濾器內(nèi)的doFilter方法！

三、攔截器

1、概念

攔截器（Interceptor）是一種在應(yīng)用程序處理請(qǐng)求和響應(yīng)的過程中，插入自定義處理邏輯的組件。攔截器是一種常見的設(shè)計(jì)模式，它允許在核心處理邏輯之前或之后執(zhí)行額外的操作。

一般出現(xiàn)在Spring MVC中，Spring MVC 中的攔截器實(shí)現(xiàn)原理主要基于 Spring 框架的 AOP和 HandlerInterceptor 接口。

2、應(yīng)用場(chǎng)景

敏感字檢測(cè)：過濾器可以用于檢測(cè)請(qǐng)求中的文本內(nèi)容，包括表單提交、請(qǐng)求參數(shù)等，以查找是否包含敏感字。異常處理： 攔截器可以用于捕獲和處理在請(qǐng)求處理過程中發(fā)生的異常。這使得開發(fā)者可以集中處理異常情況，返回合適的錯(cuò)誤響應(yīng)或記錄異常信息。日志記錄： 攔截器可用于記錄請(qǐng)求和響應(yīng)的日志信息，包括請(qǐng)求參數(shù)、響應(yīng)狀態(tài)碼、執(zhí)行時(shí)間等。國(guó)際化和本地化： 攔截器可以用于根據(jù)請(qǐng)求的語言或地區(qū)設(shè)置合適的國(guó)際化或本地化信息，以提供多語言支持。

其實(shí)過濾器和攔截器很多場(chǎng)景他們兩個(gè)都能實(shí)現(xiàn)。待會(huì)我們說一下區(qū)別在那里，都能實(shí)現(xiàn)一般采用什么方式去實(shí)現(xiàn)！

3、核心方法

先說一下攔截器接口的三個(gè)核心方法：

preHandle 方法： 在請(qǐng)求被處理之前調(diào)用。該方法在整個(gè)請(qǐng)求處理過程中是第一個(gè)被調(diào)用的方法。

如果該方法返回 true，則請(qǐng)求繼續(xù)進(jìn)行后續(xù)的處理；如果返回 false，則中斷請(qǐng)求處理，不會(huì)進(jìn)入控制器方法。

postHandle 方法： 在請(qǐng)求處理后、視圖渲染前調(diào)用。在這個(gè)方法中，可以進(jìn)行一些后置處理，如對(duì)ModelAndView的修改等。

afterCompletion方法： 在整個(gè)請(qǐng)求完成后調(diào)用，即在視圖渲染完畢或在處理過程中發(fā)生異常后調(diào)用。這個(gè)方法在請(qǐng)求完成后，不論請(qǐng)求處理過程中是否發(fā)生異常都會(huì)被調(diào)用。

4、實(shí)戰(zhàn)

先創(chuàng)建自己的攔截器類：MyInterceptor、

/**
 * @author wangzhenjun
 * @date 2023/11/23 9:17
 */
@Slf4j
@Component
public class MyInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        log.info("===>攔截器<===：開始對(duì)數(shù)據(jù)進(jìn)行敏感字過濾");
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
                           ModelAndView modelAndView) {
        // 在請(qǐng)求處理后、視圖渲染前執(zhí)行的邏輯
        log.info("===>攔截器<===：我可以改變一下modelAndView！");
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler,
                                Exception ex) {
        log.info("===>攔截器<===：釋放資源");
    }
}

把自己的攔截器注冊(cè)上：

/**
 * @author wangzhenjun
 * @date 2023/11/23 10:54
 */
@Configuration
public class MyWebConfig implements WebMvcConfigurer {

    @Autowired
    private MyInterceptor myInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(myInterceptor)
                .addPathPatterns("/web/*");
    }
}

測(cè)試訪問一下，攔截成功，走了我們自定義的攔截器！

四、面試題：二者有什么區(qū)別？

我們從下面幾種情況來說一下二者的區(qū)別！

1、出身不同

過濾器： 是基于 Java Servlet 規(guī)范的一部分，屬于 Servlet 容器的一項(xiàng)功能。

攔截器： 是 Spring MVC 框架的一部分，屬于 Spring 框架的一項(xiàng)特性。

2、應(yīng)用場(chǎng)景不同

過濾器： 主要用于全局范圍的請(qǐng)求和響應(yīng)處理，可以對(duì)所有請(qǐng)求進(jìn)行通用性的處理，例如性能監(jiān)控、身份驗(yàn)證、日志記錄等。

攔截器： 主要用于對(duì)控制器方法的請(qǐng)求和響應(yīng)進(jìn)行處理，攔截器的配置更加靈活，攔截器更接近業(yè)務(wù)系統(tǒng)，可以實(shí)現(xiàn)特定業(yè)務(wù)邏輯的攔截，例如敏感字檢測(cè)、異常監(jiān)控等。

我們把握住側(cè)重點(diǎn)核心是在：

過濾器：通用性功能攔截器：業(yè)務(wù)邏輯方面。

3、實(shí)現(xiàn)原理不同

過濾器的底層實(shí)現(xiàn)原理是基于方法回調(diào)實(shí)現(xiàn)的，我們?cè)赿oFilter方法中看到chain.doFilter(request, response);，這個(gè)就是核心，我們看一下他的源碼：

/**
* FilterChain 是 servlet 容器提供給開發(fā)人員的一個(gè)對(duì)象，用于查看已過濾資源請(qǐng)求的調(diào)用鏈。
* 篩選器使用 FilterChain 調(diào)用鏈中的下一個(gè)篩選器，或者如果調(diào)用篩選器是鏈中的最后一個(gè)篩選器，則調(diào)用鏈末尾的資源。
*/
public interface FilterChain {

    /**
     * 導(dǎo)致調(diào)用鏈中的下一個(gè)篩選器，或者如果調(diào)用篩選器是鏈中的最后一個(gè)篩選器，
     * 則會(huì)導(dǎo)致調(diào)用鏈末尾的資源。
     */
    public void doFilter(ServletRequest request, ServletResponse response)
            throws IOException, ServletException;

}

攔截器的底層實(shí)現(xiàn)原理基于動(dòng)態(tài)代理（HandlerInterceptor 的代理對(duì)象是通過AOP機(jī)制實(shí)現(xiàn)的）和反射機(jī)制實(shí)現(xiàn)的。

過濾器鏈HandlerExecutionChain類，有興趣的可以看一下！

4、執(zhí)行順序

我們剛剛就在實(shí)戰(zhàn)中看到了執(zhí)行順序：

我們?cè)诳匆幌麓a中的執(zhí)行順序，先執(zhí)行過濾器，在執(zhí)行攔截器，最后才會(huì)進(jìn)入真正的要調(diào)用的方法。

五、總結(jié)

看到這里都是成功人士，對(duì)于一個(gè)面試題，我們不能只背一下，而是從多方面去了解它，這樣才能印象深刻。

況且，過濾器和攔截器在企業(yè)級(jí)應(yīng)用中還是很常見的，特別是攔截器，誰能說自己的項(xiàng)目里沒有使用！

過濾器側(cè)重通用性，攔截器側(cè)重業(yè)務(wù)，更加靈活！

當(dāng)然有些東西，使用AOP，自己定義個(gè)注解，來進(jìn)行切面，做一下日志記錄，監(jiān)控啥的也是挺好的。

大家根據(jù)自己的場(chǎng)景來選擇。