JavaFilter实现登录验证教程

学习文章要努力，但是不要急！今天的这篇文章《Java Filter实现登录验证方法》将会介绍到等等知识点，如果你想深入学习文章，可以关注我！我会持续更新相关文章的，希望对大家都能有所帮助！

Filter中判断用户是否已登录的核心是检查HttpSession中是否存在有效用户标识，需用request.getSession(false)获取会话并判空，放行登录、登出、验证码等路径，重定向前须校验response未提交且带上getContextPath()。

Filter中如何判断用户是否已登录

核心是检查 HttpSession 中是否存在有效的用户标识（如 "user" 或 "userId"），而不是解析 Cookie 或 Token 字符串。直接调用 request.getSession(false) 获取会话，避免无谓创建新 session。

• getSession(false) 返回 null 表示当前请求无活跃会话，可立即放行至登录页
• 若 session 存在，再用 session.getAttribute("user") 检查登录态，注意判空而非仅判 != null —— 有些框架会存入 Boolean.FALSE 表示已注销
• 不要在 Filter 中调用 request.getSession()（无参），它会在无 session 时强制创建，导致无效 session 泛滥

哪些 URL 应该放行不验证

登录接口、静态资源、验证码生成、登出逻辑本身必须绕过验证，否则形成死循环。推荐用路径前缀白名单 + 精确匹配组合控制，避免正则误伤。

• 常见需放行路径："/login"、"/logout"、"/captcha"、"/static/**"、"/favicon.ico"
• 使用 String.startsWith() 判断前缀比 Pattern 更轻量；对精确路径用 Objects.equals() 避免 NPE
• 注意：Spring Boot 的 WebMvcConfigurer 和 Filter 的放行逻辑要一致，否则出现「前端能访问但接口 401」这类错位问题

验证失败时重定向到登录页的坑

不能直接 response.sendRedirect() 后就 return —— 必须调用 chain.doFilter() 或显式中断后续过滤器链，否则可能触发多次重定向或响应已提交异常。

• 调用 response.sendRedirect() 前，确保 response.isCommitted() == false，否则抛 IllegalStateException: Cannot forward after response has been committed
• 重定向后必须 return，且不再调用 chain.doFilter()
• 若项目用了 HTTPS，重定向地址需显式带 https:// 协议，否则可能跳到 HTTP 登录页，造成混合内容阻断

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
    throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    HttpServletResponse resp = (HttpServletResponse) response;
    String uri = req.getRequestURI();

    if (uri.startsWith("/static/") || "/login".equals(uri) || "/captcha".equals(uri)) {
        chain.doFilter(request, response);
        return;
    }

    HttpSession session = req.getSession(false);
    if (session == null || session.getAttribute("user") == null) {
        resp.sendRedirect(req.getContextPath() + "/login");
        return; // ⚠️ 关键：终止链，不执行 chain.doFilter
    }

    chain.doFilter(request, response);
}

最常被忽略的是 session 失效后未清理 attribute 导致假登录态，以及重定向时没处理上下文路径（getContextPath()）—— 这会让部署在子路径（如 /myapp）的应用跳转失败。

以上就是《JavaFilter实现登录验证教程》的详细内容，更多关于的资料请关注golang学习网公众号！