Java Web 拦截机制实战指南:Filter 与 Interceptor 深度解析
一、理解核心概念
在 Java Web 开发中,过滤器(Filter)和拦截器(Interceptor)是两种核心的请求处理机制。它们虽然都能对请求进行拦截和处理,但定位截然不同:
- Filter 是 Servlet 容器的"守门人",位于应用最外层
- Interceptor 是 Spring MVC 的"执法官",位于框架内部
二、Filter:Servlet 容器的第一道防线
2.1 本质与特点
Filter 是 Java Servlet 规范 定义的组件,由 Servlet 容器(如 Tomcat)直接管理,不依赖任何框架,因此具有最强的通用性。
生命周期方法:
方法 | 触发时机 | 用途 |
| 应用启动时 | 初始化配置 |
| 每次请求 | 核心处理逻辑 |
| 应用关闭时 | 资源释放 |
执行流程:
请求 → Filter1 → Filter2 → Servlet/Controller → Filter2 → Filter1 → 响应2.2 Spring Boot 中的实现方式
方式一:注解方式(适合简单场景)
@WebFilter(urlPatterns = "/api/*", filterName = "authFilter") public class AuthFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 前置处理 System.out.println("认证检查开始"); // 放行到下一个 Filter 或目标资源 chain.doFilter(request, response); // 后置处理(响应返回时执行) System.out.println("认证检查结束"); } } // 在主类开启扫描 @SpringBootApplication @ServletComponentScan public class Application { }方式二:配置类方式(推荐,更灵活)
@Configuration public class FilterConfig { @Bean public FilterRegistrationBean<AuthFilter> authFilter() { FilterRegistrationBean<AuthFilter> bean = new FilterRegistrationBean<>(); bean.setFilter(new AuthFilter()); bean.addUrlPatterns("/api/*"); bean.setOrder(1); // 控制执行顺序,数字越小越先执行 return bean; } }2.3 Filter 的典型应用场景
场景 | 说明 |
统一编码 | 设置 UTF-8 编码,解决中文乱码 |
安全防护 | XSS 过滤、SQL 注入检测 |
跨域处理 | 添加 CORS 响应头 |
请求日志 | 记录所有请求的 IP、路径、耗时 |
数据压缩 | Gzip 压缩响应内容 |
三、Interceptor:Spring MVC 的精准拦截
3.1 本质与特点
Interceptor 是 Spring MVC 框架 提供的机制,只能拦截被 DispatcherServlet 处理的请求(即映射到 Controller 的请求)。它可以获取 Spring 上下文,与业务逻辑深度集成。
三个核心拦截点:
方法 | 执行时机 | 能否终止请求 | 典型用途 |
| Controller 方法执行前 | 可返回 终止 | 登录验证、权限校验 |
| Controller 执行后,视图渲染前 | 无法终止 | 修改 Model、添加公共数据 |
| 请求处理完成(含异常) | 无法终止 | 资源清理、异常日志 |
3.2 完整实现示例
@Component public class PermissionInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求信息 String uri = request.getRequestURI(); System.out.println("【拦截】请求路径: " + uri); // 权限校验逻辑 HttpSession session = request.getSession(); if (session.getAttribute("user") == null && uri.startsWith("/admin")) { response.sendRedirect("/login"); return false; // 拦截,不继续执行 } return true; // 放行 } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // 向视图添加通用数据 if (modelAndView != null) { modelAndView.addObject("serverTime", new Date()); } } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // 记录异常信息 if (ex != null) { System.out.println("【异常】请求处理出错: " + ex.getMessage()); } // 清理 ThreadLocal 等资源 } }注册 Interceptor:
@Configuration public class WebMvcConfig implements WebMvcConfigurer { @Autowired private PermissionInterceptor permissionInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(permissionInterceptor) .addPathPatterns("/admin/**", "/user/**") // 拦截路径 .excludePathPatterns("/login", "/public/**"); // 排除路径 } }四、核心区别对比
对比维度 | Filter | Interceptor |
规范来源 | Servlet 规范(J2EE) | Spring MVC 框架 |
框架依赖 | 不依赖 Spring,任何 Web 应用可用 | 必须在 Spring 环境中使用 |
拦截范围 | 所有请求(含静态资源、JSP) | 仅 DispatcherServlet 映射的请求 |
执行时机 | Servlet 之前 | Controller 前后 |
方法数量 | 1 个 | 3 个: |
可获取对象 |
|
|
异常处理 | 只能捕获 Filter 内部异常 |
|
静态资源拦截 | 支持 | 默认不支持 |
五、执行顺序详解
当 Filter 和 Interceptor 同时存在时,执行流程如下:
1. Filter.doFilter() 前置代码 ↓ 2. Interceptor.preHandle() ↓ 3. Controller 方法执行 ↓ 4. Interceptor.postHandle() ↓ 5. 视图渲染 ↓ 6. Interceptor.afterCompletion() ↓ 7. Filter.doFilter() 后置代码示意图:
请求进入 ↓ [Filter 1] ──┐ ↓ │ [Filter 2] │ 过滤器链(双向拦截) ↓ │ [Servlet] │ ↓ │ [Interceptor 1.preHandle] ──┐ ↓ │ [Interceptor 2.preHandle] │ ↓ │ [Controller 执行] │ 拦截器链(三阶段) ↓ │ [Interceptor 2.postHandle] │ ↓ │ [Interceptor 1.postHandle] │ ↓ │ [视图渲染] │ ↓ │ [Interceptor 1.afterCompletion]┘ ↓ [Interceptor 2.afterCompletion] ↓ [Filter 2 后置] ↓ [Filter 1 后置] ↓ 响应返回六、实战选择指南
6.1 优先使用 Filter 的场景
- 统一字符编码:需要在请求进入 Servlet 前就设置编码
- 跨域处理(CORS):处理
OPTIONS预检请求,早于 Spring MVC - 安全过滤:XSS、SQL 注入的输入预处理
- 全局日志:记录所有 HTTP 请求的完整生命周期
- 非 Spring 环境:纯 Servlet 应用
6.2 优先使用 Interceptor 的场景
- 登录状态校验:可便捷获取
HttpSession和 Spring Bean - 细粒度权限控制:结合
@PreAuthorize、Security 上下文 - 性能监控:精确统计 Controller 执行时间
- 业务操作日志:获取
HandlerMethod知道调用了哪个方法 - 视图数据增强:在
postHandle中向 Model 添加数据
七、黄金组合实践
在实际项目中,两者配合使用才能发挥最大价值:
层级 | 组件 | 职责 |
外层 | Filter | 编码设置、CORS、XSS 过滤、请求日志 |
内层 | Interceptor | 登录验证、权限校验、性能监控、业务日志 |
典型配置示例:
// Filter 处理通用底层逻辑 @Bean public FilterRegistrationBean<CharacterEncodingFilter> encodingFilter() { FilterRegistrationBean<CharacterEncodingFilter> bean = new FilterRegistrationBean<>(); bean.setFilter(new CharacterEncodingFilter("UTF-8", true)); bean.addUrlPatterns("/*"); bean.setOrder(Ordered.HIGHEST_PRECEDENCE); // 最先执行 return bean; } // Interceptor 处理业务逻辑 @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new AuthInterceptor()) .addPathPatterns("/api/**") .excludePathPatterns("/api/login"); }八、面试高频问题
Q1:Filter 和 Interceptor 的本质区别是什么?
Filter 是 Servlet 规范,由容器管理;Interceptor 是 Spring MVC 机制,由框架管理。Filter 更早执行,能拦截所有请求;Interceptor 更晚执行,只能拦截 Spring MVC 请求,但能获取更丰富的上下文。
Q2:如何让 Interceptor 拦截静态资源?
修改 DispatcherServlet 的 url-pattern 为 /*,但会带来性能开销,通常不建议。静态资源拦截建议用 Filter。
Q3:afterCompletion 一定会执行吗?
只要 preHandle 返回 true 并执行了,无论后续是否异常,afterCompletion 都会执行,适合资源清理。
Q4:如何控制多个 Filter 的执行顺序?
使用 FilterRegistrationBean 的 setOrder() 方法,数字越小优先级越高。
九、总结
Filter | Interceptor | |
定位 | 容器层"护城河" | 框架层"城门守卫" |
优势 | 通用、底层、无框架依赖 | 精细、灵活、可获取 Spring 上下文 |
最佳实践 | 处理通用、底层问题 | 处理业务、安全、监控逻辑 |
核心原则:Filter 做"通用处理",Interceptor 做"业务拦截",两者协同构建完整的请求处理体系。
