注:本文中Tomcat,代表所有的Serlvet容器,由于Tomcat非常流行,所以用这个读者更加熟悉。
一、过滤器是什么,有什么用
你完成了项目编写,把它发布到网络上运行,此时,外部主机可以访问它,这时会出现一些问题。
【注:记你的项目为WP】
第一,主机A是个安全专家,测试自己写的脚本,在一分钟内,向WP发送十万次请求,这会使正常用户卡崩溃甚至无法使用。
第二,用户B访问你的项目,发现在不登录的情况下,就能购买你商店中的商品。这会使你遭受一定损失。
你必须为自己设置安全防护。
早期,对于第二个情况,最朴素的方法,是用户每次操作时,都必须输入账号密码,这样,能保证系统安全。
然而,这不仅使得用户体验很差,还会使代码量变多变复杂,这种非业务逻辑的代码,会影响正常开发。
随着开发思想的迭代,开发者把安全行为抽离业务逻辑,形成一道屏障—“防火墙”。
当然,这是一种类比,在Servlet容器中,一切外部主机访问项目,都要经过“过滤器”
这就是我们今天的主角。
身份验证、权限控制,经典的工具jwt,就需要在过滤器中使用。【当然,在代码逻辑中也不是不行】
过滤器的作用对象,是外部主机,所以它默认不影响正常代码逻辑【也可以让它影响】
由于过滤器是项目门户,需要在项目启动前就布置好,恰好和Servlet容器运行的时间段类似,所以Servlet容器内置了过滤器功能。
比如常用的Tomcat服务器,就默认使用WebMVCConfigurer类的过滤配置。
二、Filter接口和WebMVCConfigurer接口的介绍
Tomcat的所有过滤行为,都基于Filter接口。
Filter接口在实际上,定义了一个过滤器应该有的所有行为。
而我们常用于解决跨域问题的WebMVCConfigurer过滤配置,属于另一个过滤器分支。
虽然它与Filter没有父子关系,但我猜测,在Filter的子实现类里,一定组合了WebMVCConfigurer的实现类。
否则,我们不应该能够使用WebMVCConfigurer解决跨域问题。
WebMVCConfigurer中,定义了Web开发常用的跨域、页面跳转等过滤。
Filter定义了最重要的3个方法,
- doFilter:最重要的方法,真正的过滤逻辑
- init:初始化,过滤前的准备
- doDestroy:销毁过滤器后,会自动调用
三、过滤器的部署
开发前后端项目,我们常常会遇到跨域问题,今天,我们从它入手,详解它的原理,并解决它。
第一,浏览器跨域策略
- 跨域问题的原因:为保证安全,浏览器不允许不同应用层协议、不同IP地址、不同端口之间的应用程序直接通信。
- 举例:
- http://IP地址:端口号/资源 和 ftp:(或者https) 之间,协议不同,不允许跨域访问
- 1.1.23.4 和 2.1.4.1 之间,IP地址不同,不允许
- 后端项目127.0.0.1:8080 和前端项目127.0.0.1:5143之间,端口号不同,不允许
表面上,跨域问题由浏览器引起,使用postman、jmeter访问时,似乎不会有问题。
然而,浏览器对跨域问题只有标记作用(即标记是否跨域了),真正的跨域解决方案,内置在Tomcat容器中。
第二,跨域的成因
既然跨域方案在Servlet容器中,又因为使用SSM框架开发项目时,使用WebMVCConfigurer实现类作为默认过滤器,所以,成因就是该实现类默认不允许跨域。
第三,跨域解决
我选用的是使用@WebFilter注解表示一个过滤器,使这个过滤器拦截所有的请求,架空WebMVCConfigurer实现类的权力,然后在新过滤器中解决问题。
注:此方法要做2件事
- 使用@WebFilter注解过滤器类
- 该过滤器类实现Filter接口
完成后,就可以重写3个方法
代码为:
// 拦截所有请求
@WebFilter(urlPatterns = "/*")
public class FilterPermission implements Filter {// 初始化方法,一般不用@Overridepublic void init(FilterConfig filterConfig) throws ServletException {Filter.super.init(filterConfig);}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {// 放行函数filterChain.doFilter(servletRequest,servletResponse);}// 销毁函数@Overridepublic void destroy() {Filter.super.destroy();}
这样,就能粗略地解决跨域问题,当然,也带来了一些安全问题,在此不赘述。
四、结语
我是蚊子码农,如有补充或者疑问,欢迎在评论区留言。个人的知识体系可能没有那么完善,希望各位多多指正,谢谢大家。