一、前言

一直想著寫一篇關于過濾器和攔截器，記得之前面試，面試官突然問了一個談談過濾器和攔截器的區別。

當時腦瓜子嗡嗡的，這個沒準備過，咋辦，支支吾吾的說了先到過濾器在到攔截器。

直接被說，你連請求來了經歷那些都不知道，怎么能行呢？

雖然這個是八股文，但是還是比較有內容的，在項目中會使用到，在鑒權、日志記錄等！

從此之后，面試前第一件事，就是把過濾器和攔截器看一遍。

今天好好總結一下，不需要在看別人寫的了！

不能為了面試而學習，咱們是為了掌握好他們，咱們今天從概念--->場景--->實戰--->面試題。

一步步層層遞進，不讓大家白白點開，一定是有所收獲！

執行順序總體圖：

二、過濾器

1、概念

過濾器是一種在 Java Web 應用中用于處理請求和響應的組件。它可以攔截客戶端發起的請求，也可以攔截服務器返回的響應，對它們進行處理或者修改。

過濾器屬于Servlet規范的一部分，過濾器是用于執行過濾任務的對象，它可以在請求到達 Servlet 之前或響應發送給客戶端之前執行一些額外的邏輯。

2、應用場景

日志記錄： 過濾器常用于記錄請求和響應的日志，包括請求的路徑、參數、處理時間等信息。

身份驗證和授權： 過濾器可以用于實現身份驗證和授權邏輯，例如檢查用戶是否已登錄，是否具有足夠的權限訪問某個資源。

防御性編程： 過濾器可以用于對請求進行安全檢查，防止潛在的攻擊，比如阻止惡意請求、XSS（跨站腳本攻擊）等。

性能監控： 過濾器可以用于收集請求的處理時間、資源使用等信息，用于性能監控和優化。

3、核心方法

先說一下過濾器的三個核心方法：init 方法：在過濾器被創建并添加到容器時調用，在過濾器的生命周期中只被調用一次。doFilter 方法：是過濾器的核心方法，用于處理請求和響應。可以進行前置處理、請求轉發或鏈的調用，以及后置處理。(FilterChain.doFilter)destroy 方法：在過濾器被銷毀前調用，用于進行資源釋放和清理工作。在過濾器的生命周期中只被調用一次。

4、實戰

編寫自己的過濾器配置類： 會把web開頭的請求率先通過我們定義的過濾器，我們可以在里面進行權限的校驗、記錄日志等。

多個過濾器，需要有執行順序可以使用Spring注解@Order，也可以使用@WebFilter(urlPatterns="/web/order/")，通過請求去到下一個符合條件的過濾器！

咱們使用的注解，需要在啟動類加上掃描，不然過濾器是不會生效的！

@ServletComponentScan。

/**
 * @author wangzhenjun
 * @date 2023/11/22 15:34
 */
@Slf4j
@WebFilter("/web/*")
public class MyFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        log.info("用戶已經認證，繼續處理");
        log.info("用戶有權限，繼續處理");
        chain.doFilter(request, response);
        log.info("處理完成，放行之后");

    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

測試訪問，經過了過濾器，來到我們的Controller，最后重新會到過濾器內的doFilter方法！

三、攔截器

1、概念

攔截器（Interceptor）是一種在應用程序處理請求和響應的過程中，插入自定義處理邏輯的組件。攔截器是一種常見的設計模式，它允許在核心處理邏輯之前或之后執行額外的操作。

一般出現在Spring MVC中，Spring MVC 中的攔截器實現原理主要基于 Spring 框架的 AOP和 HandlerInterceptor 接口。

2、應用場景

敏感字檢測：過濾器可以用于檢測請求中的文本內容，包括表單提交、請求參數等，以查找是否包含敏感字。異常處理： 攔截器可以用于捕獲和處理在請求處理過程中發生的異常。這使得開發者可以集中處理異常情況，返回合適的錯誤響應或記錄異常信息。日志記錄： 攔截器可用于記錄請求和響應的日志信息，包括請求參數、響應狀態碼、執行時間等。國際化和本地化： 攔截器可以用于根據請求的語言或地區設置合適的國際化或本地化信息，以提供多語言支持。

其實過濾器和攔截器很多場景他們兩個都能實現。待會我們說一下區別在那里，都能實現一般采用什么方式去實現！

3、核心方法

先說一下攔截器接口的三個核心方法：

preHandle 方法： 在請求被處理之前調用。該方法在整個請求處理過程中是第一個被調用的方法。

如果該方法返回 true，則請求繼續進行后續的處理；如果返回 false，則中斷請求處理，不會進入控制器方法。

postHandle 方法： 在請求處理后、視圖渲染前調用。在這個方法中，可以進行一些后置處理，如對ModelAndView的修改等。

afterCompletion方法： 在整個請求完成后調用，即在視圖渲染完畢或在處理過程中發生異常后調用。這個方法在請求完成后，不論請求處理過程中是否發生異常都會被調用。

4、實戰

先創建自己的攔截器類：MyInterceptor、

/**
 * @author wangzhenjun
 * @date 2023/11/23 9:17
 */
@Slf4j
@Component
public class MyInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        log.info("===>攔截器<===：開始對數據進行敏感字過濾");
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
                           ModelAndView modelAndView) {
        // 在請求處理后、視圖渲染前執行的邏輯
        log.info("===>攔截器<===：我可以改變一下modelAndView！");
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler,
                                Exception ex) {
        log.info("===>攔截器<===：釋放資源");
    }
}

把自己的攔截器注冊上：

/**
 * @author wangzhenjun
 * @date 2023/11/23 10:54
 */
@Configuration
public class MyWebConfig implements WebMvcConfigurer {

    @Autowired
    private MyInterceptor myInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(myInterceptor)
                .addPathPatterns("/web/*");
    }
}

測試訪問一下，攔截成功，走了我們自定義的攔截器！

四、面試題：二者有什么區別？

我們從下面幾種情況來說一下二者的區別！

1、出身不同

過濾器： 是基于 Java Servlet 規范的一部分，屬于 Servlet 容器的一項功能。

攔截器： 是 Spring MVC 框架的一部分，屬于 Spring 框架的一項特性。

2、應用場景不同

過濾器： 主要用于全局范圍的請求和響應處理，可以對所有請求進行通用性的處理，例如性能監控、身份驗證、日志記錄等。

攔截器： 主要用于對控制器方法的請求和響應進行處理，攔截器的配置更加靈活，攔截器更接近業務系統，可以實現特定業務邏輯的攔截，例如敏感字檢測、異常監控等。

我們把握住側重點核心是在：

過濾器：通用性功能攔截器：業務邏輯方面。

3、實現原理不同

過濾器的底層實現原理是基于方法回調實現的，我們在doFilter方法中看到chain.doFilter(request, response);，這個就是核心，我們看一下他的源碼：

/**
* FilterChain 是 servlet 容器提供給開發人員的一個對象，用于查看已過濾資源請求的調用鏈。
* 篩選器使用 FilterChain 調用鏈中的下一個篩選器，或者如果調用篩選器是鏈中的最后一個篩選器，則調用鏈末尾的資源。
*/
public interface FilterChain {

    /**
     * 導致調用鏈中的下一個篩選器，或者如果調用篩選器是鏈中的最后一個篩選器，
     * 則會導致調用鏈末尾的資源。
     */
    public void doFilter(ServletRequest request, ServletResponse response)
            throws IOException, ServletException;

}

攔截器的底層實現原理基于動態代理（HandlerInterceptor 的代理對象是通過AOP機制實現的）和反射機制實現的。

過濾器鏈HandlerExecutionChain類，有興趣的可以看一下！

4、執行順序

我們剛剛就在實戰中看到了執行順序：

我們在看一下代碼中的執行順序，先執行過濾器，在執行攔截器，最后才會進入真正的要調用的方法。

五、總結

看到這里都是成功人士，對于一個面試題，我們不能只背一下，而是從多方面去了解它，這樣才能印象深刻。

況且，過濾器和攔截器在企業級應用中還是很常見的，特別是攔截器，誰能說自己的項目里沒有使用！

過濾器側重通用性，攔截器側重業務，更加靈活！

當然有些東西，使用AOP，自己定義個注解，來進行切面，做一下日志記錄，監控啥的也是挺好的。

大家根據自己的場景來選擇。