JavaWeb过滤器与拦截器实战教程

20XX/XX/XXJavaWeb过滤器与拦截器实战教程汇报人:XXXCONTENTS目录01

Web请求处理增强技术概述02

过滤器(Filter)核心技术03

过滤器实战案例开发04

拦截器(Interceptor)核心技术CONTENTS目录05

拦截器实战案例开发06

过滤器与拦截器深度对比07

综合实战与最佳实践01Web请求处理增强技术概述提升系统安全性通过过滤器实现XSS攻击防护、SQL注入过滤，拦截器进行细粒度权限校验，有效降低Web应用安全风险。优化开发效率将通用逻辑如统一编码设置、登录验证等通过过滤器/拦截器实现，减少重复代码，提高代码复用率和开发效率。增强系统可维护性采用AOP思想的拦截器和责任链模式的过滤器，使横切关注点与业务逻辑解耦，便于系统维护和功能扩展。实现非侵入式增强无需修改原有业务代码，通过配置过滤器链和拦截器链即可对请求处理流程进行增强，符合开闭原则。请求处理增强技术的应用价值过滤器与拦截器的核心定位过滤器：Servlet容器级别的通用拦截器过滤器是JavaServlet规范的一部分，运行在Web容器（如Tomcat）层面，能够拦截所有进入容器的请求，包括静态资源（HTML、CSS、JS）和动态资源（Servlet、JSP），主要用于实现通用的请求/响应处理逻辑。拦截器：SpringMVC框架级别的业务增强器拦截器是SpringMVC框架提供的组件，基于AOP思想实现，工作在DispatcherServlet之后、Controller方法执行前后，仅拦截SpringMVC处理的动态请求，用于实现与业务紧密相关的细粒度控制逻辑。核心差异：规范归属与作用范围过滤器依赖Servlet容器，属于JavaEE标准，作用于所有Web请求；拦截器依赖Spring容器，属于框架组件，仅作用于SpringMVC的Controller请求，可访问Spring上下文及业务Bean。学习路径与实战目标核心能力培养目标掌握过滤器与拦截器的实现原理，能够独立设计并开发请求处理链路；理解两者在JavaWeb架构中的定位与协同机制，提升Web应用的安全性与可维护性。分阶段学习路径第一阶段：基础认知（概念、接口、生命周期）；第二阶段：实战编码（过滤器链配置、拦截器注册）；第三阶段：场景应用（权限控制、日志记录等典型案例）；第四阶段：对比优化（性能分析、最佳实践）。实战项目目标完成一个包含"登录验证过滤器+权限拦截器+全局日志记录"的综合案例，实现从请求拦截到业务处理的全流程控制，掌握Filter与Interceptor的组合使用技巧。02过滤器(Filter)核心技术过滤器的定义与工作原理过滤器的核心定义

过滤器（Filter）是JavaServlet规范定义的组件，运行在Web容器层面，用于拦截所有进入容器的HTTP请求与响应，可在请求到达目标资源前或响应返回客户端前执行预处理/后处理逻辑。过滤器的工作流程

客户端请求→过滤器链（执行前置逻辑）→目标资源（Servlet/Controller）→过滤器链（执行后置逻辑）→客户端响应，通过FilterChain接口实现请求传递与放行控制。核心生命周期方法

包含init()（容器启动时初始化，仅执行一次）、doFilter()（每次请求执行核心过滤逻辑）、destroy()（容器关闭时销毁，释放资源）三个关键方法。拦截路径匹配规则

支持完全匹配（如"/login"）、目录匹配（如"/admin/*"）、扩展名匹配（如"*.jsp"）和通配符匹配（"/*"拦截所有请求），优先级为完全匹配>目录匹配>扩展名匹配。Filter接口与生命周期方法Filter核心接口定义过滤器需实现javax.servlet.Filter接口，该接口包含init()、doFilter()、destroy()三个核心方法，是Servlet规范的一部分，所有Servlet容器均支持。生命周期三阶段详解1.初始化阶段：Web容器启动时调用init()方法，完成过滤器初始化，整个生命周期仅执行一次；2.过滤阶段：每次请求匹配时调用doFilter()方法，执行核心过滤逻辑；3.销毁阶段：容器关闭时调用destroy()方法，释放资源，生命周期内仅执行一次。doFilter方法执行流程方法参数包含ServletRequest、ServletResponse和FilterChain，通过chain.doFilter(request,response)实现请求放行，放行前可预处理请求，放行后可处理响应，形成完整的请求-响应处理链路。过滤器链执行机制01过滤器链的定义与作用过滤器链是由多个过滤器按配置顺序组成的处理链条，用于对请求进行多步骤的预处理和后处理，实现功能的解耦与复用。02过滤器链的执行流程请求依次经过过滤器链中每个过滤器的preHandle逻辑，通过chain.doFilter()传递给下一个过滤器，最终到达目标资源；响应返回时反向执行各过滤器的后处理逻辑。03过滤器链的配置与顺序控制通过web.xml中filter-mapping的声明顺序或@WebFilter注解的filterName字典序控制执行顺序，SpringBoot中可通过FilterRegistrationBean的setOrder方法精确设置优先级（值越小越先执行）。04过滤器链的典型应用场景如"编码过滤器→登录过滤器→日志过滤器"的组合，依次完成字符集设置、身份验证和访问记录，形成完整的请求安全处理链路。过滤器配置方式详解

注解配置（Servlet3.0+）通过@WebFilter注解声明过滤器，指定urlPatterns属性设置拦截路径，如@WebFilter(urlPatterns="/*")拦截所有请求。需在SpringBoot启动类添加@ServletComponentScan注解开启扫描。

XML配置（web.xml）在web.xml中通过<filter>标签注册过滤器类，<filter-mapping>标签配置拦截路径和Dispatcher类型，如<url-pattern>/*</url-pattern>。

SpringBoot配置类注册通过FilterRegistrationBean将过滤器注册为SpringBean，可设置拦截路径（addUrlPatterns）、执行顺序（setOrder）、初始化参数等，如registration.setOrder(Ordered.HIGHEST_PRECEDENCE)。

配置优先级与执行顺序注解配置的过滤器按类名字典序执行；XML配置按<filter-mapping>声明顺序执行；SpringBoot配置类通过setOrder方法设置优先级，值越小越先执行。过滤器URL拦截规则支持完全匹配（如"/login"）、目录匹配（如"/admin/*"）、扩展名匹配（如"*.jsp"）和通配符匹配（"/*"拦截所有请求）。拦截器URL匹配规则通过addPathPatterns配置拦截路径（如"/**"拦截所有），excludePathPatterns排除特定路径（如"/login"），支持Ant风格路径表达式。匹配优先级规则过滤器与拦截器均遵循"完全匹配>目录匹配>扩展名匹配"原则，配置顺序影响多规则冲突时的匹配结果。实战配置示例过滤器用@WebFilter(urlPatterns="/*")拦截所有请求；拦截器通过registry.addInterceptor().addPathPatterns("/api/*")拦截API路径。URL拦截规则与匹配优先级03过滤器实战案例开发案例1：全局字符编码过滤器

需求背景解决Web应用中因编码不一致导致的中文乱码问题，统一设置请求和响应的字符编码为UTF-8。

实现步骤1.创建类实现javax.servlet.Filter接口；2.重写doFilter方法，设置request和response的字符编码；3.通过@WebFilter注解或FilterRegistrationBean配置拦截路径为/*。

核心代码示例publicclassEncodingFilterimplementsFilter{publicvoiddoFilter(ServletRequestreq,ServletResponseres,FilterChainchain){req.setCharacterEncoding("UTF-8");res.setCharacterEncoding("UTF-8");chain.doFilter(req,res);}}

配置方式注解方式：@WebFilter(urlPatterns="/*")；SpringBoot配置类方式：通过FilterRegistrationBean注册，设置拦截路径和执行顺序。案例2：登录状态验证过滤器需求分析：登录验证场景对Web应用中需要登录后才能访问的资源进行保护，未登录用户访问时自动重定向到登录页面，已登录用户正常访问。过滤器实现步骤1.创建类实现javax.servlet.Filter接口；2.重写doFilter方法实现登录校验逻辑；3.配置拦截路径与排除路径（如登录页、静态资源）；4.在SpringBoot启动类添加@ServletComponentScan注解。核心校验逻辑代码示例在doFilter方法中通过HttpServletRequest获取session中的用户信息，判断是否为null。若未登录且访问非排除路径，则通过response.sendRedirect("/login.jsp")重定向到登录页；否则调用chain.doFilter(request,response)放行。过滤器配置与测试使用@WebFilter(urlPatterns="/*")注解拦截所有请求，在init方法中初始化排除路径列表（如/login.jsp、/login、静态资源路径）。测试时未登录访问受保护资源应跳转登录页，登录后可正常访问。案例3：敏感词过滤实现

01敏感词过滤的应用场景在用户评论、论坛发帖、即时通讯等功能中，需对用户输入内容进行敏感词检测与过滤，防止违规信息传播，保障平台内容合规性。

02基于过滤器的敏感词过滤实现通过实现Filter接口，在doFilter方法中获取请求参数，使用字符串匹配或正则表达式比对敏感词库，对包含敏感词的内容进行替换或拦截处理，确保请求参数安全后放行。

03敏感词过滤案例代码示例创建SensitiveWordFilter类实现Filter接口，在doFilter方法中读取请求参数，调用敏感词检测工具类（如包含"暴力"、"色情"等词汇则替换为***），处理后通过chain.doFilter放行。

04敏感词过滤的扩展优化可采用前缀树（Trie树）数据结构优化敏感词匹配效率，支持动态加载敏感词库，结合缓存机制减少重复检测，提升系统处理性能。过滤器链综合应用案例多过滤器协同场景：电商平台请求处理

构建包含编码过滤、XSS防护、登录验证的过滤器链，实现从请求预处理到权限校验的全流程控制，适用于电商系统等复杂Web应用。编码过滤器（EncodingFilter）实现

通过实现javax.servlet.Filter接口，在doFilter方法中设置request.setCharacterEncoding("UTF-8")和response.setCharacterEncoding("UTF-8")，解决中文乱码问题，确保请求参数和响应数据编码统一。XSS防护过滤器（XssFilter）实现

继承OncePerRequestFilter，重写doFilterInternal方法，使用HTML转义工具（如ApacheCommonsText的StringEscapeUtils）对请求参数中的特殊字符（<、>、&等）进行过滤，防止跨站脚本攻击。登录验证过滤器（LoginFilter）实现

在doFilter方法中通过HttpSession获取用户登录状态，对未登录用户访问非公开资源（如/order/*）时重定向至登录页，通过chain.doFilter()方法放行已登录用户或公开资源请求。过滤器链执行顺序配置与测试

通过FilterRegistrationBean设置过滤器执行顺序：EncodingFilter（order=1）→XssFilter（order=2）→LoginFilter（order=3），测试验证请求依次经过编码处理、安全过滤、权限校验后到达目标资源，响应按相反顺序返回。04拦截器(Interceptor)核心技术拦截器的核心定义拦截器是SpringMVC框架提供的组件，基于AOP（面向切面编程）思想，用于在请求处理的不同阶段（如Controller方法执行前后、视图渲染前后）执行自定义逻辑，实现对请求流程的细粒度控制。AOP思想的核心体现拦截器通过动态代理机制，将横切关注点（如权限校验、日志记录）从业务逻辑中解耦，在不修改目标方法代码的前提下，实现对方法调用的增强，符合AOP的"横切"特性。与Spring容器的深度集成拦截器由Spring容器管理，可通过依赖注入（@Autowired）使用SpringBean，直接访问业务层组件和上下文信息，与Spring生态无缝衔接，支持复杂业务逻辑处理。拦截器的定义与AOP实现原理HandlerInterceptor接口方法解析preHandle方法：请求预处理在Controller方法执行前调用，返回boolean值控制请求是否继续。返回true表示放行，false则中断请求。常用于权限校验、参数验证等前置逻辑。postHandle方法：请求后处理在Controller方法执行后、视图渲染前调用，可修改ModelAndView对象。适用于添加全局视图数据、统一响应处理等场景。afterCompletion方法：资源清理在整个请求完成（视图渲染后）调用，通常用于资源释放、异常记录等收尾工作。无论preHandle返回true或false，只要请求进入过preHandle且返回true，该方法都会执行。拦截器生命周期与执行流程拦截器生命周期三阶段拦截器的生命周期包含三个核心阶段：preHandle（Controller方法执行前）、postHandle（Controller方法执行后，视图渲染前）、afterCompletion（整个请求完成后，视图渲染后）。preHandle方法：前置处理在请求进入Controller方法前执行，返回boolean值。返回true表示继续执行后续拦截器和Controller；返回false则中断请求，不再向下执行。常用于权限校验、参数验证等前置逻辑。postHandle方法：后置处理在Controller方法执行后、视图渲染前调用，可对ModelAndView对象进行修改，如添加全局参数。仅当preHandle返回true时执行。afterCompletion方法：完成处理在整个请求处理完成（视图渲染后）执行，通常用于资源清理、异常记录等操作。无论preHandle返回true或false，只要该拦截器的preHandle返回true，此方法都会执行。拦截器链执行顺序多个拦截器组成拦截器链时，preHandle按注册顺序执行，postHandle和afterCompletion按注册逆序执行。若某拦截器preHandle返回false，后续拦截器及Controller均不执行，但已执行preHandle的拦截器的afterCompletion仍会执行。拦截器注册与路径配置拦截器注册方式通过实现WebMvcConfigurer接口的addInterceptors方法，使用InterceptorRegistry注册拦截器实例，可同时注册多个拦截器形成拦截器链。路径匹配规则使用addPathPatterns配置拦截路径，支持/**（所有请求）、/admin/*（目录匹配）等模式；excludePathPatterns可排除特定路径，如登录页、静态资源。执行顺序控制通过order()方法设置执行优先级，值越小越先执行；未指定时按注册顺序执行，preHandle按正序，postHandle和afterCompletion按逆序。配置示例@ConfigurationpublicclassWebConfigimplementsWebMvcConfigurer{@OverridepublicvoidaddInterceptors(InterceptorRegistryregistry){registry.addInterceptor(newAuthInterceptor()).addPathPatterns("/**").excludePathPatterns("/login").order(1);}}注册顺序与执行优先级拦截器链的执行顺序默认遵循注册时的添加顺序，先注册的拦截器preHandle方法先执行，postHandle和afterCompletion方法后执行。Ordered接口显式排序通过实现Ordered接口或使用@Order注解指定order值，值越小优先级越高，可覆盖默认注册顺序实现自定义执行顺序。执行顺序示例注册顺序：InterceptorA(Order=1)→InterceptorB(Order=2)，执行流程：A.preHandle→B.preHandle→Controller→B.postHandle→A.postHandle→B.afterCompletion→A.afterCompletion。中断机制与顺序影响若某拦截器preHandle返回false，后续拦截器及Controller均不执行，已执行preHandle的拦截器afterCompletion仍会按倒序执行。拦截器链调用顺序控制05拦截器实战案例开发案例1：用户权限精细校验

拦截器实现方案基于SpringMVC的HandlerInterceptor接口，在preHandle方法中实现权限校验逻辑，可访问Spring容器中的业务Bean，支持细粒度的角色权限判断。

核心实现步骤1.创建拦截器类实现HandlerInterceptor接口；2.在preHandle方法中获取用户角色与请求资源权限；3.校验通过返回true放行，否则重定向至403页面。

代码示例：权限校验逻辑publicbooleanpreHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler){Stringrole=(String)request.getSession().getAttribute("role");if("admin".equals(role)||request.getRequestURI().contains("/public/")){returntrue;}response.sendRedirect("/403");returnfalse;}

应用场景价值适用于多角色系统的权限控制，如管理员后台、普通用户界面的访问限制，通过拦截器可灵活配置不同URL的权限要求，与业务逻辑解耦。案例2：接口性能监控拦截器

功能需求与实现目标对SpringMVC接口进行性能监控，记录每个请求的URL、执行时间，便于分析系统瓶颈，优化接口响应速度。

拦截器核心实现代码实现HandlerInterceptor接口，在preHandle方法记录请求开始时间，在afterCompletion方法计算并输出接口耗时：`longstartTime=System.currentTimeMillis();`（前置），`longduration=System.currentTimeMillis()-startTime;`（后置）。

配置与生效方式通过WebMvcConfigurer配置拦截器，使用addPathPatterns指定拦截路径（如`/**`拦截所有请求），excludePathPatterns排除无需监控的路径（如静态资源）。

应用效果与价值实时监控接口性能数据，例如：`RequestURL:/api/user|Time:120ms`，帮助开发人员快速定位慢接口，提升系统整体响应效率。案例3：请求参数预处理

过滤器实现参数过滤（XSS防护）创建XssFilter实现Filter接口，在doFilter方法中使用HtmlUtils.htmlEscape()对请求参数进行转义，过滤恶意脚本标签，保护应用安全。

拦截器实现参数校验自定义ParamCheckInterceptor实现HandlerInterceptor，在preHandle方法中获取请求参数，使用正则表达式校验手机号、邮箱等格式，返回false阻止非法请求。

过滤器链与拦截器协同处理先通过过滤器进行全局XSS过滤，再由拦截器针对Controller方法进行参数合法性校验，形成"过滤-校验"双重防护机制，提升系统健壮性。多拦截器协同工作案例

案例场景：电商订单处理流程以电商系统订单提交流程为例，需依次完成登录状态校验、权限验证、接口性能监控三个核心任务，通过多拦截器协同实现解耦。

拦截器链配置与执行顺序注册三个拦截器：AuthInterceptor（登录校验，order=1）→PermissionInterceptor（权限验证，order=2）→PerformanceInterceptor（性能监控，order=3）。preHandle按order升序执行，postHandle和afterCompletion按order降序执行。

协同工作流程演示1.AuthInterceptor.preHandle：检查用户Token，未登录则重定向至登录页；2.PermissionInterceptor.preHandle：验证用户是否有下单权限；3.PerformanceInterceptor.preHandle：记录请求开始时间；4.执行订单Controller逻辑；5.PerformanceInterceptor.postHandle：计算接口耗时；6.PermissionInterceptor.afterCompletion：记录权限校验结果日志；7.AuthInterceptor.afterCompletion：清理登录状态临时数据。

关键注意事项若某拦截器preHandle返回false，后续拦截器及Controller均不执行，但已执行preHandle=true的拦截器afterCompletion仍会执行。通过@Order注解或InterceptorRegistry.order()方法严格控制执行顺序。06过滤器与拦截器深度对比规范归属差异过滤器是JavaServlet规范的一部分，属于JavaEE标准组件；拦截器是Spring框架提供的组件，属于SpringMVC规范范畴。容器依赖区别过滤器依赖Servlet容器（如Tomcat、Jetty），必须在Web容器中运行；拦截器由Spring容器管理，不依赖Servlet容器，可在非Web环境使用。实现接口不同过滤器需实现javax.servlet.Filter接口；拦截器需实现org.springframework.web.servlet.HandlerInterceptor接口。上下文访问能力过滤器无法直接访问Spring容器及Bean；拦截器可通过Spring依赖注入获取容器内Bean，支持业务逻辑交互。技术规范与依赖环境对比执行时机与作用范围差异

01过滤器执行时机过滤器基于Servlet规范，在请求进入Servlet容器后、Servlet执行前触发，响应返回客户端前再次执行，处于请求处理的最底层。

02拦截器执行时机拦截器是SpringMVC组件，在DispatcherServlet分发请求后、Controller方法执行前触发，可在Controller执行后、视图渲染前后进行处理。

03过滤器作用范围作用于所有进入Web容器的请求，包括静态资源（HTML/CSS/JS）、动态Servlet及JSP，拦截范围覆盖整个应用的请求响应流程。

04拦截器作用范围仅拦截经过SpringMVCDispatcherServlet处理的动态请求，如Controller接口，不拦截静态资源，聚焦业务逻辑层的请求处理。功能特性与能力边界对比

过滤器（Filter）核心功能特性基于Servlet规范，可拦截所有Web请求（含静态资源），通过doFilter方法实现请求预处理与响应后处理，支持修改请求/响应内容，如设置字符编码、过滤敏感词。

拦截器（Interceptor）核心功能特性基于SpringMVC框架，仅拦截DispatcherServlet处理的动态请求，提供preHandle（Controller前）、postHandle（Controller后）、afterCompletion（视图渲染后）三阶段处理，可访问SpringBean与业务数据。

过滤器能力边界依赖Servlet容器，无法直接访问Spring上下文，适合处理与业务无关的通用逻辑，如跨域处理、XSS防护，拦截范围覆盖所有HTTP请求。

拦截器能力边界依赖Spring容器，可通过依赖注入使用业务Bean，适合业务相关逻辑，如权限细粒度校验、接口性能监控，仅作用于Controller层请求，无法拦截静态资源。全链路执行顺序演示请求处理全流程客户端请求→Tomcat容器→过滤器链→DispatcherServlet→拦截器链→Controller→拦截器链后处理→过滤器链后处理→客户端响应过滤器与拦截器执行时序过滤器先于拦截器执行，具体顺序为：Filter前置逻辑→InterceptorpreHandle→Controller方法→InterceptorpostHandle→InterceptorafterCompletion→Filter后置逻辑多过滤器执行顺序按web.xml配置顺序或@Order注解值（值越小越先执行），形成过滤器链依次执行，前置逻辑顺序执行，后置逻辑逆序执行多拦截器执行顺序按注册顺序或order属性值（值越小越先执行），preHandle顺序执行，postHandle和afterCompletion逆序执行，preHandle返回false则后续拦截器终止执行应用场景选择指南

过滤器适用场景适用于与业务无关的底层通用处理，如设置请求/响应字符编码（如UTF-8）、跨域资源共享（CORS）处理、XSS/SQL注入等安全过滤、所有请求的日志记录。

拦截器适用场景适用于与业务紧密相关的逻辑处理，如基于用户角色的权限细粒度校验、Controller方法执行前后的日志记录、接口性能监控与耗时统计、全局异常处理及请求参数预处理。

选择决策流程图1.若需处理所有请求（含静态资源）→选择过滤器；2.若仅需处理SpringMVC动态请求→选择拦截器；3.若需访问SpringBean或业务数据→选择拦截器；4.若需通用、底层处理（如编码、安全）