Ⅰ SpringBoot系列:4.session和鉴权—过滤器和拦截器
本文主要介绍下,SpringBoot的web项目中,
使用redis保存并共享session,可以实现集群内的登录信息共享。SpringBoot项目中,通过在 application.yml 增加redis的配置,即可实现对session的存储和修改。
那么session是在何时被处理的?session的key又是如何生成的呢?这里实际使用了web项目中的过滤器。
在SpringBoot的web项目中,启动的tomcat在处理http请求时,有一个很重要的类: ApplicationFilterChain 。每个http请求在处理时都会通过这个类。这个类负责按顺序处理全部已注册的 Filter ,也就是过滤器。通过实现tomcat中的 Filter 接口,就可以定义一个过滤器。
在SpringBoot中的web项目中,有几个默认的过滤器,其中一个就是用来处理session的: SessionRepositoryFilter
SessionRepositoryFilter 主要的成员是两个接口,都有多个可选的实现类,通过这两个成员就实现了对session的解析。
当然也可以实现一个自己的过滤器,主要有两种方式:
下面我们使用第一种方式实现一个限制指定IP的过滤器:
通过过滤器解析session后,就可以根据session中保存的内容,判断当前登录的用户权限。
这里是通过一个拦截器实现的,在拦截器中可以直接通过 HttpServletRequest.getSession() 方法直接获取session的信息。
一个简单的拦截器实现如下:
定义之后要注册到处理流程中:
先来看下过滤器和拦截器的执行顺序,通过debug得到的执行顺序如下图:
在大部分场景中,过滤器和拦截器都是可互换的,使用哪个都可以。
过滤器和拦截器也有些区别,这里不谈实现和规范的差异,就说下使用中可能涉及的区别:
最后对于过滤器和拦截器的应用场景,说下个人的总结。基于执行顺序,方法参数和SpringBoot中的一些实现类来看。
以上内容属个人学习总结,如有不当之处,欢迎在评论中指正
Ⅱ Spring Boot-Filter过滤器使用
1、基础准备
2、编写Filter
此处我们重点关注 doFilter方法 ,编写实现类重写该方法。
Ⅰ 在自定义Filter实现类上使用@WebFilter注解;
Ⅱ 自定义filterName(随意,不要与其他Filter重复即可);
Ⅲ 定义urlPatterns此处设置为"/*",表示拦截所有请求;
Ⅰ 将传入的 request 与 response 对象转换为 Http类型 ;
Ⅱ 自定义不需要处理的URI数组
Ⅲ 获取请求URI
Ⅳ 判断本次请求
封装checkURI方法,如下:
a、注入PATH_MATCHER,用于路径比较,如下:
b、方法体,如下:
Ⅴ 不需要拦截,则直接放行
Ⅵ 其余路径,判断登录状态
a、已登录,则放行
BaseContext是自定义存储线程userId的类
b、未登录,拦截
自定义常量
拦截,此处使用response向前端返回响应数据R.error(NOT_LOGIN)
3、扫描Filter
在启动类上添加 @ServletComponentScan注解 ,用于扫描 @WebFilter 注解 ,如下:
4、测试
编写Controller类,启动测试。
以上即为Filter基础使用的内容,感谢阅读。
Ⅲ Spring Security自定义拦截器
HttpSecurity实际上就是在配置Spring security的过滤器链,比如:CSRF,CORS,表单登录等,每个配置器对应一个过滤器,可以通过HttpSecurity配置过滤器的行为。
甚至可以像CRSF一样直接关闭过滤器,例如:SessionManagement
Spring Security通过SessionManagermentConfigurer来配置SessionManagerment的行为,与SessionManagermentConfigurer类似的配置器还有CorsConfigurer,RememberMeConfigurer等,他们都实现了SecurityConfigurer的标准接口。
SessionManagementConfigurer是在configure方法中将最终的SessionManagementFilter插入过滤器链来实现会话管理的。
除了Spring security提供的过滤器外,我们还可以添加自己的过滤器以实现更多的功能,这些都是可以在HttpSecurity中实现
虽然Spring Security 的过滤器链对过滤器没有特殊要求,只要继承了Filter即可,但是在Spring体系中,推荐使用OnePerRequestFilter来实现,它可以确保一次请求只会通过一次该过滤器(Filter实际并不能保证这一点)
其实关于这个自定义Filter,我个人感觉有个比较danteng的地方,比如:我们在实现图片验证码或者一些其他的登录相关的验证码的时候,我们可能会做到在账号跟密码验证了之后对这个验证码进行验证,然后我就必须有个这种操作: http.addFilterBefore(filter,.class); 因为如果验证码验证错误,我们就不需要也没必要再往后验证了,所以我们得知道我们定义的这个验证码过滤器得在什么时候验证在哪个过滤器之前或者之后验证,那么问题来了,或许我们并不知道Spring Security给我们提供了哪些或者什么样的过滤器,我们得去记住这些过滤器,这就有点不友好了。在HttpSecurityBuilder接口中,有一段这样的注释:
非常爽眼~
Ⅳ SpringBoot 手写过滤器&加载第三方过滤器
他们三个各有优缺点,需要根据自己的业务需求来选择最适合的拦截机制。
好了下面开始正文。
好了,开始正文。
特别容易,继承Filter ,然后根据需求重写它的三个方法。
其中 init方法是初始化方法,最先执行。
然后执行doFilter方法,熟悉servlet的应该都知道,它其实就是调用业务。
最后destroy方法,是最后执行的。
然后我们启动服务,随便调用一个controller,控制台打印如下:
一般在开发的时候,我们可能用到第三方的过滤器,我们不可能在其源码上添加 @Component 注解。所以我们必须写一个配置类来引入它。
下面我们把上面的例子当作第三方过滤器,把TimeFilter类上面的@Component注解去掉。做一个模拟练习。
注意一定要去掉TimeFilter类上面的@Component注解,否则过滤器会失效。
SpringCloud
springboot
nginx
redis
Java NIO教程
Java reflection 反射详解
Java并发学习笔录
Java Servlet教程
jdbc组件详解
Java NIO教程
Java语言/版本 研究
Ⅳ spring boot 配置过滤器怎么打开
Boot、Spring Web和来Spring MVC等其他框架,都提供了很多源servlet 过滤器可使用,我们需要在配置文件中定义这些过滤器为bean对象。现在假设我们的应用程序运行在一台负载均衡代理服务器后方,因此需要将代理服务器发来的请求包含的IP地址转换成真正的用户IP。Tomcat 8 提供了对应的过滤器:RemoteIpFilter。通过将RemoteFilter这个过滤器加入过滤器调用链即可使用它。
Ⅵ SpringBoot2.x将Filter过滤器添加到容器
JAVA && Spring && SpringBoot2.x — 学习目录
SpringBoot 关于Filter、Servlet、Listener配置—官网
在使用嵌入式容器中(内置Tomcat),类上含有 @WebServlet 、 @WebFilter 和 @WebListener 注解时,可以通过启动类上的 @ServletComponentScan 注解进行扫描。
需要注意的是:@ServletComponentScan 在独立容器中没有任何效果,而是使用容器的内置发现机制。
任何的 Servlet 、 Filter 或者 Listener 实例都是在容器中注册的,可以使用 @Component 或者 @Bean 。
默认情况下,如果上下文只包含一个Servlet,则将其映射为 / ,在多个Servlet bean的情况下,bean名称用作路径前缀,过滤器映射到 /* 。
自定义Filter通过@Bean注解后,被SpringBoot自动注册到容器的Filter chain中,并且拦截路径为 /* ,这样导致的结果是:所有的URL都会被自定义的Filter过滤。
可以使用 ServletRegistrationBean 、 FilterRegistrationBean 以及 类进行完全的控制。
Spring Boot对Filter、Servlet提供了相应的注册类,来进行精细化的配置,我们可以使用注册类来取消Filter的自动注册。
Ⅶ Springboot 过滤器
它是基于Servlet 技术实现的, 简单的来说,过滤器就是起到过滤的作用,在web项目开发中帮我们过滤一些指定的 url做一些特殊的处理。
过滤掉一些不需要的东西,例如一些错误的请求。
也可以修改请求和相应的内容。
也可以拿来过滤未登录用户。
过滤器(filter)有三个方法,其中初始化(init)和摧毁(destroy)方法一般不会用到,主要用到的是doFilter这个方法。
如果过滤通过,则在doFilter执行 filterChain.doFilter(request,response);
自定义Filter有两种实现方式,第一种是使用@WebFilter,第二种是使用 FilterRegistrationBean
@WebFilter 用于将一个类声明为过滤器,该注解将会在部署时被容器处理,容器将根据具体的属性配置将相应的类部署为过滤器。
Ⅷ spring中配置过滤器的一个疑问。
嗯 ...楼主说的很明白,业务类(ServiceIMP)及注入,调用 都没有问题
既然项目中加入了filter 那么就是通过spring在filter注入bean
将filter注入Spring 而不是单纯的把业务类注入生成getter setter,让filter调用就可以了。在spring中,filter被纳入了bean 管理机制。
如Spring注入过滤器配置
<bean id="myFilter" class="com.MyFilter"> //指名具体的filter类
<property name="service"> //需要注入的具体参数
<ref bean="service"/>
</property>
</bean>
这样吧 这有个简单实例,给你参考一下:
http://www.iwangyu.com/index.php/archives/309
如果只凭配置信息看不明白,还有个简单的例子你看一下:
http://hi..com/anglee2010/blog/item/bc51ab3f11ffc13371cf6c28.html
应该差不多了...
工作日可以随时 Hi 我
Ⅸ spring中怎么实现过滤器和监听器
1、延迟加载过滤器
Hibernate 允许对关联对象、属性进行延迟加载,但是必须保证延迟加载的操作限于同一个 Hibernate Session 范围之内进行。如果 Service 层返回一个启用了延迟加载功能的领域对象给 Web 层,当 Web 层访问到那些需要延迟加载的数据时,由于加载领域对象的 Hibernate Session 已经关闭,这些导致延迟加载数据的访问异常。
Spring 为此专门提供了一个 OpenSessionInViewFilter 过滤器,它的主要功能是使每个请求过程绑定一个 Hibernate Session,即使最初的事务已经完成了,也可以在 Web 层进行延迟加载的操作。
<filter>
<filter-name>hibernateFilter</filter-name>
<filter-class>
org.springframework.orm.hibernate3.support.OpenSessionInViewFilter
</filter-class>
</filter>
<filter-mapping>
<filter-name>hibernateFilter</filter-name>
<url-pattern>*.html</url-pattern>
</filter-mapping>
2、乱码过滤器
对post乱码的处理,如下
<filter>
<filter-name>encodingFilter</filter-name>
<filter-class>
org.springframework.web.filter.CharacterEncodingFilter①Spring编辑过滤器
</filter-class>
<init-param>②编码方式
<param-name>encoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
<init-param>③强制进行编码转换
<param-name>forceEncoding</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>②过滤器的匹配URL
<filter-name>encodingFilter</filter-name>
<url-pattern>*.html</url-pattern>
</filter-mapping>
3、请求跟踪日志过滤器
程度调试者可以详细地查看到有哪些请求被调用,请求的参数是什么,请求是否正确返回等信息,需要将log4j设为debug
org.springframework.web.filter.: 该过滤器将请求的 URI 记录到 Common 日志中
4、WebAppRootListener
可以将 Web 应用根目录添加到系统参数中,对应的属性名可以通过名为“webAppRootKey”的 Servlet 上下文参数指定,默认为“webapp.root”,配置如下
<context-param>
<param-name>webAppRootKey</param-name>
<param-value>baobaotao.root</param-value>①Web应用根目录以该属性名添加到系统参数中
</context-param>
…
②负责将Web应用根目录以webAppRootKey上下文参数指定的属性名添加到系统参数中
<listener>
<listener-class>
org.springframework.web.util.WebAppRootListener
</listener-class>
</listener>
5、Log4jConfigListener监听器
包括了 WebAppRootListener 的功能,也就是说,Log4jConfigListener 会自动完成将 Web 应用根目录以 webAppRootKey 上下文参数指定的属性名添加到系统参数中,在log4j.xml可以直接使用
6、Introspector 缓存清除监听器
负责处理由 JavaBean Introspector 功能而引起的缓存泄露。IntrospectorCleanupListener 监听器在 Web 应用关闭的时会负责清除 JavaBean Introspector 的缓存,在 web.xml 中注册这个监听器可以保证在 Web 应用关闭的时候释放与其相关的 ClassLoader 的缓存和类引用。
Ⅹ spring security 核心 --过滤器
Table 2. 标准过滤器别名和顺序
你可以添加自己的过滤器到列表中,使用custom-filter过滤元件和这些名字来指定你的过滤器应该出现在的位置之一:
<http>
<custom-filter position="FORM_LOGIN_FILTER" ref="myFilter" />
</http>
<beans:bean id="myFilter" class="com.mycompany.MySpecialAuthenticationFilter"/>
你也可以使用after和before属性来让你的过滤器插入到列表中的其他过滤器的前面和后面。FIRST和LAST可以用在position属性来设置你希望将你的过滤器插入到整个列表的前面或者后面。