Filter 的加载机制 和 Servlet 容器(如 Tomcat)的请求处理流程

Spring Boot 中 Filter 的加载机制Servlet 容器(如 Tomcat)的请求处理流程 。下面我来系统性地解释为什么请求会先经过 AuthFilter,以及整个流程背后的原理。


一、请求处理的基本流程(Servlet 规范)

在基于 Servlet 的 Web 应用(包括 Spring Boot 内嵌 Tomcat)中,所有 HTTP 请求都会先进入 Servlet 容器(如 Tomcat),然后:

  1. 容器根据 URL 匹配对应的 Filter 链(Filter Chain)
  2. 按照注册顺序依次执行每个 Filter 的 doFilter() 方法
  3. 所有 Filter 执行完后,才会将请求交给目标 Servlet (在 Spring Boot 中通常是 DispatcherServlet
  4. DispatcherServlet 再将请求分发给对应的 Controller

因此:Filter 是在 Controller 之前执行的,这是 Servlet 规范决定的。


二、Spring Boot 如何注册 Filter?

Spring Boot 提供了多种方式注册自定义 Filter,常见的是通过 @Bean + FilterRegistrationBean

复制代码
@Bean
public FilterRegistrationBean<AuthFilter> authFilter() {
    FilterRegistrationBean<AuthFilter> registration = new FilterRegistrationBean<>();
    registration.setFilter(new AuthFilter());
    registration.setOrder(3); // 设置执行顺序
    registration.addUrlPatterns("/*"); // 匹配所有请求
    return registration;
}
  • setOrder(3) 表示该 Filter 在 Filter 链中的优先级(数字越小越先执行)
  • Spring Boot 启动时会自动扫描并注册这些 FilterRegistrationBean
  • 最终,这些 Filter 会被注册到内嵌的 Tomcat Servlet 容器

注意:除了自定义 Filter,Spring Security、字符编码 Filter(CharacterEncodingFilter)等也会被自动注册,它们也有各自的 Order。


三、Filter Chain 的执行顺序

Filter 的执行顺序由 @Order 注解或 FilterRegistrationBean.setOrder() 决定。例如:

Order Filter 名称 作用
1 CharacterEncodingFilter 设置请求/响应编码
2 SomeLoggingFilter 记录请求日志
3 AuthFilter 执行身份认证逻辑
... Other Filters 其他过滤器
最后 DispatcherServlet 分发请求到 Controller

所以当一个请求进来时:

  1. Tomcat 构建匹配该 URL 的 Filter 链
  2. 按 Order 从小到大依次调用每个 Filter 的 doFilter()
  3. 到达 AuthFilter(Order=3)时,执行认证逻辑:
    • 如果认证失败 → 直接返回 401/403,不再继续调用 chain.doFilter()
    • 如果认证成功 → 调用 chain.doFilter(request, response),继续下一个 Filter 或进入 Controller

四、为什么"验证通过后才会到达 Controller"?

因为 Filter 是 前置拦截器 。只有当所有 Filter 都调用了 chain.doFilter(),请求才会最终传递给 DispatcherServlet,进而路由到你的 @RestController

如果 AuthFilter 发现 token 无效,它可以直接:

复制代码
response.setStatus(HttpStatus.UNAUTHORIZED.value());
return; // 不调用 chain.doFilter()

这样请求就不会继续向下传递,Controller 根本不会被执行。


五、总结:关键点

关键点 说明
Filter 是 Servlet 规范的一部分 所有请求必须先经过 Filter 链
Spring Boot 自动注册 Filter 通过 FilterRegistrationBean@WebFilter
执行顺序由 Order 决定 数字越小越先执行
AuthFilter 在 Order=3 位置 在它之前的 Filter 已执行,之后的还没执行
认证失败可中断链路 不调用 chain.doFilter() 即可阻止请求到达 Controller

补充建议

  • 如果使用 Spring Security ,通常不需要手写 AuthFilter,因为 Security 本身就是一个强大的 Filter(springSecurityFilterChain),且 Order 非常靠前(默认 -100)。
  • 手动实现认证 Filter 适用于轻量级场景或定制需求。
相关推荐
Flittly8 小时前
【AgentScope Java新手村系列】(16)从RAG到多路检索
java·spring boot·spring
人活一口气12 小时前
从JVM调优到MCP协议:Java全栈技术体系深度总结与企业级架构实践
java·spring boot
Java陈序员1 天前
企业级!一个基于 Java 开发的开源 AI 应用开发平台!
spring boot·agent·mcp
杨运交2 天前
[041][公共模块]分布式唯一ID生成器设计与实现:一款灵活可扩展的雪花算法框架
spring boot
Flittly3 天前
【AgentScope Java新手村系列】(14)人机交互
java·spring boot·spring
Flynt3 天前
从Spring Boot 4.0升到4.1,我在Maven和gRPC上栽了跟头
java·spring boot·后端
掉鱼的猫5 天前
Spring Boot → Solon 注解迁移实战指南:一张对照表说清楚
java·spring boot
人活一口气5 天前
Spring Boot与AIGC的完美结合:从零搭建智能内容生成平台
java·spring boot·aigc
java小白小8 天前
SpringBoot(01): 初识SpringBoot,从Spring的痛点说起
spring boot
用户3169353811839 天前
如何从零编写一个 Spring Boot Starter
spring boot