Filter 的加载机制 和 Servlet 容器(如 Tomcat)的请求处理流程

Andy工程师2026-01-05 9:05

Spring Boot 中 Filter 的加载机制Servlet 容器(如 Tomcat)的请求处理流程 。下面我来系统性地解释为什么请求会先经过 AuthFilter,以及整个流程背后的原理。

一、请求处理的基本流程(Servlet 规范)

在基于 Servlet 的 Web 应用(包括 Spring Boot 内嵌 Tomcat)中,所有 HTTP 请求都会先进入 Servlet 容器(如 Tomcat),然后:

  1. 容器根据 URL 匹配对应的 Filter 链(Filter Chain)
  2. 按照注册顺序依次执行每个 Filter 的 doFilter() 方法
  3. 所有 Filter 执行完后,才会将请求交给目标 Servlet (在 Spring Boot 中通常是 DispatcherServlet
  4. DispatcherServlet 再将请求分发给对应的 Controller

因此:Filter 是在 Controller 之前执行的,这是 Servlet 规范决定的。

二、Spring Boot 如何注册 Filter?

Spring Boot 提供了多种方式注册自定义 Filter,常见的是通过 @Bean + FilterRegistrationBean

复制代码 
@Bean
public FilterRegistrationBean<AuthFilter> authFilter() {
    FilterRegistrationBean<AuthFilter> registration = new FilterRegistrationBean<>();
    registration.setFilter(new AuthFilter());
    registration.setOrder(3); // 设置执行顺序
    registration.addUrlPatterns("/*"); // 匹配所有请求
    return registration;
}
  • setOrder(3) 表示该 Filter 在 Filter 链中的优先级(数字越小越先执行)
  • Spring Boot 启动时会自动扫描并注册这些 FilterRegistrationBean
  • 最终,这些 Filter 会被注册到内嵌的 Tomcat Servlet 容器

注意:除了自定义 Filter,Spring Security、字符编码 Filter(CharacterEncodingFilter)等也会被自动注册,它们也有各自的 Order。

三、Filter Chain 的执行顺序

Filter 的执行顺序由 @Order 注解或 FilterRegistrationBean.setOrder() 决定。例如:

Order Filter 名称 作用
1 CharacterEncodingFilter 设置请求/响应编码
2 SomeLoggingFilter 记录请求日志
3 AuthFilter 执行身份认证逻辑
... Other Filters 其他过滤器
最后 DispatcherServlet 分发请求到 Controller

所以当一个请求进来时:

  1. Tomcat 构建匹配该 URL 的 Filter 链
  2. 按 Order 从小到大依次调用每个 Filter 的 doFilter()
  3. 到达 AuthFilter(Order=3)时,执行认证逻辑:
    • 如果认证失败 → 直接返回 401/403,不再继续调用 chain.doFilter()
    • 如果认证成功 → 调用 chain.doFilter(request, response),继续下一个 Filter 或进入 Controller

四、为什么"验证通过后才会到达 Controller"?

因为 Filter 是 前置拦截器 。只有当所有 Filter 都调用了 chain.doFilter(),请求才会最终传递给 DispatcherServlet,进而路由到你的 @RestController

如果 AuthFilter 发现 token 无效,它可以直接:

复制代码 
response.setStatus(HttpStatus.UNAUTHORIZED.value());
return; // 不调用 chain.doFilter()

这样请求就不会继续向下传递,Controller 根本不会被执行。

五、总结:关键点

关键点 说明
Filter 是 Servlet 规范的一部分 所有请求必须先经过 Filter 链
Spring Boot 自动注册 Filter 通过 FilterRegistrationBean@WebFilter
执行顺序由 Order 决定 数字越小越先执行
AuthFilter 在 Order=3 位置 在它之前的 Filter 已执行,之后的还没执行
认证失败可中断链路 不调用 chain.doFilter() 即可阻止请求到达 Controller

补充建议

  • 如果使用 Spring Security ,通常不需要手写 AuthFilter,因为 Security 本身就是一个强大的 Filter(springSecurityFilterChain),且 Order 非常靠前(默认 -100)。
  • 手动实现认证 Filter 适用于轻量级场景或定制需求。
相关推荐
小唐同学爱学习19 小时前
短链接修改之写锁
spring boot·redis·后端·mysql
zbguolei21 小时前
Springboot上传文件与物理删除
java·spring boot·后端
jay神21 小时前
基于SpringBoot的校园社团活动智能匹配与推荐系统
java·前端·spring boot·后端·毕业设计
Java程序员威哥21 小时前
Arthas+IDEA实战:Java线上问题排查完整流程(Spring Boot项目落地)
java·开发语言·spring boot·python·c#·intellij-idea
Elieal21 小时前
SpringBoot 中处理接口传参时常用的注解
java·spring boot·后端
高山上有一只小老虎1 天前
mybatisplus实现简单的增删改查方法
java·spring boot·后端
ZealSinger1 天前
Nacos2.x 内存注册表:从服务调用链路深入理解
java·spring boot·spring·spring cloud·nacos
计算机程序设计小李同学1 天前
基于位置服务的二手图书回收平台
java·前端·vue.js·spring boot·后端
小北方城市网1 天前
Spring Cloud Gateway 进阶实战:自定义过滤器、动态路由与全链路日志监控
spring boot·python·rabbitmq·java-rabbitmq·数据库架构
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03Linux下V2Ray安装配置指南04Claude Code Skills 实用使用手册05Open Code教程(四)| 高级配置与集成06UV安装并设置国内源07BongoCat - 跨平台键盘猫动画工具08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)10MC.JS 网页版《我的世界》 免安装中文版