Java Filter实战：防止缓存与用户登录检查

"本文将介绍Java中的filter（过滤器）的使用方法，主要涉及如何防止浏览器缓存页面的过滤器和检测用户是否登录的过滤器的实现代码。" 在Java Web开发中，过滤器（Filter）是Servlet API的一个重要组成部分，它允许开发者在请求到达目标Servlet或JSP之前以及响应离开应用程序返回给客户端之前进行拦截和处理。过滤器可以用来进行数据的预处理、安全控制、性能优化等多种功能。 一、防止浏览器缓存页面的过滤器 在Web应用中，有时我们需要确保用户每次访问页面都能获取最新的内容，而不是从浏览器的缓存中读取。这时，我们可以创建一个名为`ForceNoCacheFilter`的过滤器来实现这一功能。下面的代码展示了如何设置HTTP响应头，禁止浏览器缓存页面： ```java import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; / * 用于使Browser不缓存页面的过滤器 */ public class ForceNoCacheFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException { ((HttpServletResponse) response).setHeader("Cache-Control", "no-cache"); ((HttpServletResponse) response).setHeader("Pragma", "no-cache"); ((HttpServletResponse) response).setDateHeader("Expires", -1); filterChain.doFilter(request, response); } public void destroy() { } public void init(FilterConfig filterConfig) throws ServletException { } } ``` 在这个过滤器中，我们通过`doFilter()`方法设置响应头，`Cache-Control`设置为`no-cache`，`Pragma`设置为`no-cache`，并把`Expires`设置为过去的时间（-1），从而告诉浏览器不要缓存页面。 二、检测用户是否登陆的过滤器 对于需要用户登录才能访问的部分，我们可以创建一个过滤器来检查用户是否已登录。以下是一个简单的`UserLoginFilter`示例： ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import java.util.List; import java.util.ArrayList; import java.util.StringTokenizer; import java.io.IOException; / * 用于检测用户是否登录的过滤器 */ public class UserLoginFilter implements Filter { // 假设这是从配置中获取的角色列表 private List<String> requiredRoles = new ArrayList<>(); public UserLoginFilter() { requiredRoles.add("ROLE_USER"); } public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpSession session = httpRequest.getSession(false); if (session != null && session.getAttribute("username") != null) { // 用户已登录，检查角色权限 String userRole = (String) session.getAttribute("role"); if (hasRequiredRole(userRole)) { filterChain.doFilter(request, response); } else { // 用户没有必要的角色权限，重定向到登录页面 ((HttpServletResponse) response).sendRedirect("/login.jsp"); } } else { // 用户未登录，重定向到登录页面 ((HttpServletResponse) response).sendRedirect("/login.jsp"); } } private boolean hasRequiredRole(String userRole) { for (String role : requiredRoles) { if (role.equals(userRole)) { return true; } } return false; } public void destroy() { } public void init(FilterConfig filterConfig) throws ServletException { // 可以从filterConfig中获取配置的角色列表 } } ``` 这个过滤器首先检查用户会话是否已存在，如果存在则检查用户是否已登录（通过`username`属性）。如果用户已登录，进一步检查用户角色是否满足系统需求（这里通过`hasRequiredRole()`方法实现）。若用户未登录或角色不符，则重定向到登录页面。 总结来说，Java中的过滤器是强大的工具，可以帮助我们实现诸如数据过滤、安全控制等跨页面的需求。通过实例化和配置`Filter`类，我们可以在请求生命周期的特定阶段执行自定义逻辑，从而增强应用的功能和安全性。