servlet api 很久以前就已成为企业应用开发的基石，而 servlet 过滤器则是对 j2ee 家族的相对较新的补充。在 j2ee 探索者 系列文章的最后一篇中，作者 kyle gabhart 将向您介绍 servlet 过滤器体系结构，定义过滤器的许多应用，并指导您完成典型过滤器实现的三个步骤。他还会透露 bean 的一些激动人心的变化，预计刚发布的 java servlet 2.4 规范会引入这些变化。

　servlet 过滤器是可插入的 web 组件，它允许我们实现 web 应用程序中的预处理和后期处理逻辑。过滤器支持 servlet 和 jsp 页面的基本请求处理功能，比如日志记录、性能、安全、会话处理、xslt 转换，等等。 过滤器最初是随 java servlet 2.3 规范发布的，最近定稿的 2.4 规范对它进行了重大升级。在这 j2ee 探索者 系列文章的最后一篇中，我将向您介绍 servlet 过滤器的基础知识 ―― 比如总体的体系结构设计、实现细节，以及在 j2ee web 应用程序中的典型应用，还会涉及一些预计最新的 servlet 规范将会提供的扩展功能。

servlet 过滤器是什么？
　servlet 过滤器是小型的 web 组件，它们拦截请求和响应，以便查看、提取或以某种方式操作正在客户机和服务器之间交换的数据。过滤器是通常封装了一些功能的 web 组件，这些功能虽然很重要，但是对于处理客户机请求或发送响应来说不是决定性的。典型的例子包括记录关于请求和响应的数据、处理安全协议、管理会话属性，等等。过滤器提供一种面向对象的模块化机制，用以将公共任务封装到可插入的组件中，这些组件通过一个配置文件来声明，并动态地处理。

　servlet 过滤器中结合了许多元素，从而使得过滤器成为独特、强大和模块化的 web 组件。也就是说，servlet 过滤器是：

声明式的：过滤器通过 web 部署描述符（web.xml）中的 xml 标签来声明。这样允许添加和删除过滤器，而无需改动任何应用程序代码或 jsp 页面。

动态的：过滤器在运行时由 servlet 容器调用来拦截和处理请求和响应。

灵活的：过滤器在 web 处理环境中的应用很广泛，涵盖诸如日志记录和安全等许多最公共的辅助任务。过滤器还是灵活的，因为它们可用于对来自客户机的直接调用执行预处理和后期处理，以及处理在防火墙之后的 web 组件之间调度的请求。最后，可以将过滤器链接起来以提供必需的功能。

模块化的：通过把应用程序处理逻辑封装到单个类文件中，过滤器从而定义了可容易地从请求/响应链中添加或删除的模块化单元。

可移植的：与 java 平台的其他许多方面一样，servlet 过滤器是跨平台和跨容器可移植的，从而进一步支持了 servler 过滤器的模块化和可重用本质。

可重用的：归功于过滤器实现类的模块化设计，以及声明式的过滤器配置方式，过滤器可以容易地跨越不同的项目和应用程序使用。

透明的：在请求/响应链中包括过滤器，这种设计是为了补充（而不是以任何方式替代）servlet 或 jsp 页面提供的核心处理。因而，过滤器可以根据需要添加或删除，而不会破坏 servlet 或 jsp 页面。

　所以 servlet 过滤器是通过一个配置文件来灵活声明的模块化可重用组件。过滤器动态地处理传入的请求和传出的响应，并且无需修改应用程序代码就可以透明地添加或删除它们。最后，过滤器独立于任何平台或者 servlet 容器，从而允许将它们容易地部署到任何相容的 j2ee 环境中。

　在接下来的几小节中，我们将进一步考察 servlet 过滤器机制的总体设计，以及实现、配置和部署过滤器所涉及的步骤。我们还将探讨 servlet 过滤器的一些实际应用，最后简要考察一下模型-视图-控制器（mvc）体系结构中包含的 servlet 过滤器，从而结束本文的讨论。

servlet 过滤器体系结构
　正如其名称所暗示的，servlet 过滤器 用于拦截传入的请求和/或传出的响应，并监视、修改或以某种方式处理正在通过的数据流。过滤器是自包含、模块化的组件，可以将它们添加到请求/响应链中，或者在无需影响应用程序中其他 web 组件的情况下删除它们。过滤器仅只是改动请求和响应的运行时处理，因而不应该将它们直接嵌入 web 应用程序框架，除非是通过 servlet api 中良好定义的标准接口来实现。

　web 资源可以配置为没有过滤器与之关联（这是默认情况）、与单个过滤器关联（这是典型情况），甚至是与一个过滤器链相关联。那么过滤器究竟做什么呢？ 像 servlet 一样，它接受请求并响应对象。然后过滤器会检查请求对象，并决定将该请求转发给链中的下一个组件，或者中止该请求并直接向客户机发回一个响应。如果请求被转发了，它将被传递给链中的下一个资源（另一个过滤器、servlet 或 jsp 页面）。在这个请求设法通过过滤器链并被服务器处理之后，一个响应将以相反的顺序通过该链发送回去。这样就给每个过滤器都提供了根据需要处理响应对象的机会。

　当过滤器在 servlet 2.3 规范中首次引入时，它们只能过滤 web 客户机和客户机所访问的指定 web 资源之间的内容。如果该资源然后将请求调度给其他 web 资源，那就不能向幕后委托的任何请求应用过滤器。2.4 规范消除了这个限制。servlet 过滤器现在可以应用于 j2ee web 环境中存在请求和响应对象的任何地方。因此，servlet 过滤器可以应用在客户机和 servlet 之间、servlet 和 servlet 或 jsp 页面之间，以及所包括的每个 jsp 页面之间。这才是我所称的强大能力和灵活性！

实现一个 servlet 过滤器
　他们说“好事多磨”。我不知道“他们”指的是谁，或者这句古老的谚语究竟有多真实，但是实现一个 servlet 过滤器的确要经历三个步骤。首先要编写过滤器实现类的程序，然后要把该过滤器添加到 web 应用程序中（通过在 web 部署描述符 /web.xml 中声明它），最后要把过滤器与应用程序一起打包并部署它。我们将详细研究这其中的每个步骤。

1. 编写实现类的程序
　过滤器 api 包含 3 个简单的接口（又是数字 3！），它们整洁地嵌套在 javax.servlet 包中。那 3 个接口分别是 filter、filterchain 和 filterconfig。从编程的角度看，过滤器类将实现 filter 接口，然后使用这个过滤器类中的 filterchain 和 filterconfig 接口。该过滤器类的一个引用将传递给 filterchain 对象，以允许过滤器把控制权传递给链中的下一个资源。filterconfig 对象将由容器提供给过滤器，以允许访问该过滤器的初始化数据。

　为了与我们的三步模式保持一致，过滤器必须运用三个方法，以便完全实现 filter 接口：

　init()：这个方法在容器实例化过滤器时被调用，它主要设计用于使过滤器为处理做准备。该方法接受一个 filterconfig 类型的对象作为输入。

　dofilter()：与 servlet 拥有一个 service() 方法（这个方法又调用 dopost() 或者 doget()）来处理请求一样，过滤器拥有单个用于处理请求和响应的方法――dofilter()。这个方法接受三个输入参数：一个 servletrequest、response 和一个 filterchain 对象。

　destroy()：正如您想像的那样，这个方法执行任何清理操作，这些操作可能需要在自动垃圾收集之前进行。

清单 1 展示了一个非常简单的过滤器，它跟踪满足一个客户机的 web 请求所花的大致时间。

清单 1. 一个过滤器类实现
只需把过滤器类和其他 web 组件类包括在一起，并像您通常所做的那样把 web.xml 文件（连同过滤器定义和过滤器映射声明）放进 web 应用程序结构中，servlet 容器将处理之后的其他所有事情。

过滤器的许多应用
　您在 j2ee web 应用程序中利用过滤器的能力，仅受到您自己的创造性和应用程序设计本领的限制。在适合使用装饰过滤器模式或者拦截器模式的任何地方，您都可以使用过滤器。过滤器的一些最普遍的应用如下：

加载：对于到达系统的所有请求，过滤器收集诸如浏览器类型、一天中的时间、转发 url 等相关信息，并对它们进行日志记录。

性能：过滤器在内容通过线路传来并在到达 servlet 和 jsp 页面之前解压缩该内容，然后再取得响应内容，并在将响应内容发送到客户机机器之前将它转换为压缩格式。

安全：过滤器处理身份验证令牌的管理，并适当地限制安全资源的访问，提示用户进行身份验证和/或将他们指引到第三方进行身份验证。过滤器甚至能够管理访问控制列表（access control list，acl），以便除了身份验证之外还提供授权机制。将安全逻辑放在过滤器中，而不是放在 servlet 或者 jsp 页面中，这样提供了巨大的灵活性。在开发期间，过滤器可以关闭（在 web.xml 文件中注释掉）。在生产应用中，过滤器又可以再次启用。此外还可以添加多个过滤器，以便根据需要提高安全、加密和不可拒绝的服务的等级。

会话处理：将 servlet 和 jsp 页面与会话处理代码混杂在一起可能会带来相当大的麻烦。使用过滤器来管理会话可以让 web 页面集中精力考虑内容显示和委托处理，而不必担心会话管理的细节。

xslt 转换：不管是使用移动客户端还是使用基于 xml 的 web 服务，无需把逻辑嵌入应用程序就在 xml 语法之间执行转换的能力都绝对是无价的。

使过滤器适应 mvc 体系结构
　模型-视图-控制器（model-view-controller，mvc）体系结构是一个有效的设计，它现在已作为最重要的设计方法学，整合到了诸如 jakarta struts 和 turbine 等大多数流行的 web 应用框架中。过滤器旨在扩充 mvc 体系结构的请求/响应处理流。不管请求/响应发生在客户机和服务器之间，还是发生在服务器上的其他组件之间，过滤器在处理流中的应用都是相同的。从 mvc 的观点看，调度器组件（它或者包括在控制器组件中，或者配合控制器组件工作）把请求转发给适当的应用程序组件以进行处理。这使得控制器层成为包括 servlet 过滤器的最佳位置。通过把过滤器放在控制器组件本身的前面，过滤器可以应用于所有请求，或者通过将它放在控制器/调度器与模型和控制器之间，它可以应用于单独的 web 组件。

　mvc 体系结构广为传播，并具有良好的文档。请通过 参考资料 中的链接了解关于 mvc 和 mvc 体系结构中的 servlet 实现的更多信息。

结束语
　虽然过滤器才出现几年时间，但它们本身已作为一个关键组件嵌入到了所有敏捷的、面向对象的 j2ee web 应用程序中。本文向您介绍了 servlet 过滤器的使用。 本文讨论了过滤器的高级设计，比较了当前规范（2.4）和以前（2.3）的模型，讲述了实现过滤器所涉及的精确步骤，以及如何在 web 应用程序中声明过滤器，然后与应用程序一起部署它。本文还阐述了 servlet 过滤器的一些最普遍应用，并提到了过滤器如何适应传统的 mvc 体系结构。

　这是 j2ee 探索者 系列的最后一篇文章。我们在年初通过粗略研究 enterprise javabean 组件来开始我们的旅程，并提到了何时使用这些组件才真正有意义，以及何时这些组件才会变得大材小用的问题。然后我们将目光转向了 web 层，绘制了一条通过 servlet、jsp 页面、javabean 技术以及 java servlet api 中的无数选择和功能的路径。在这个系列文章中与您一起艰苦跋涉真是一件快乐的事情。我享受着编写这个系列文章的乐趣，并且我从大家的反馈中知道，这对您也是一个很有价值的过程。感谢您对本系列文章的参与。祝您好运，探索快乐！

参考资料

参与关于本文的 讨论论坛。（您还可以单击文章顶部或底部的讨论来访问该论坛。）

sun 的 j2ee 教程始终是获得关于核心 j2ee 技术的好地方。要了解 servlet 过滤器，请参阅 过滤请求和响应 一节。

sing li 的“taming your tomcat: filtering tricks for tomcat 5”一文（developerworks，2003 年 3 月）是关于在 tomcat web 环境中定义 servlet 过滤器的优秀文章。

要学习 servlet 2.3 过滤器的基础知识，请阅读 java.sun.com 上的“the essentials of filters”。

jason hunter 的“servlet 2.4: what's in store2.4”一文（javaworld，2003 年 3 月）是对 servlet 2.4 规范预计将要做出的变化的全面预览。

当然，您总是可以到源头去阅读 java servlet 2.4 specification。

访问 jcp 的 java servlet 2.4 final release 页面，下载 java servlet 2.4 规范的最终版。

您能在 www.encode.com 找到关于模型-视图-控制器模式的详细介绍。

要更深入地了解 mvc 并获得特定于 j2ee 的全景视图，请分析从 sun microsystems 的“designing enterprise applications with the j2ee platform”摘录的指导方针。

要对 mvc 设计采用以 servlet 为中心的方法，使用 struts 再好不过了。可以通过 malcolm davis 的“struts, an open-source mvc implementation”（developerworks，2001 年 2 月）了解有关 struts 的方方面面。

不要错过了j2ee 探索者系列文章中的任何一期。请参阅 kyle gabhart 的 j2ee 探索者 专栏的完整列表。

在 ibm developerworks java 技术专区 可以找到有关 java 编程各个方面的数百篇文章。

请访问 developer bookstore 获得技术书籍的详尽列表，其中包括了数百本 java 相关的图书。