在Java Servlet Filter中动态修改HTTP请求头的最佳实践

理解HTTP请求头的不可变性与过滤器机制

在java servlet规范中，httpservletrequest 对象代表了一个客户端发来的http请求。其设计原则之一是，一旦请求进入servlet容器，其原始的http请求头信息通常被认为是不可变的。这意味着，我们不能直接通过像 req.setheader("name", "value") 这样的方法来修改已有的请求头，因为 httpservletrequest 接口本身并没有提供这样的公共方法。

Filter（过滤器）是Servlet规范提供的一种机制，允许在请求到达目标Servlet（或Spring MVC中的Controller）之前或之后执行预处理和后处理逻辑。常见的用途包括认证、授权、日志记录、字符编码设置等。然而，当需要在过滤器中修改请求头，使其能被后续处理链中的组件（如Spring Controller）感知时，直接操作 HttpServletRequest 会遇到困难。

在提供的示例中，尝试使用 req.setAttribute("myHeaders", "someValue") 来修改请求头。需要明确的是，setAttribute 方法是用于在请求范围内设置属性，这些属性与HTTP请求头是两个不同的概念。请求属性（request attributes）可以在请求生命周期内传递数据，但它们并不会被视为HTTP请求头，因此 Controller 中使用 @RequestHeader 注解是无法获取到通过 setAttribute 设置的值的。

解决方案：使用HttpServletRequestWrapper

为了在不改变原始请求对象的前提下，修改请求的行为（包括获取请求头的值），Servlet API提供了 HttpServletRequestWrapper 类。这个类实现了 HttpServletRequest 接口，并持有一个对原始 HttpServletRequest 对象的引用。它的所有方法默认都委托给原始请求对象。通过继承 HttpServletRequestWrapper 并重写其特定方法，我们可以“装饰”或“包装”原始请求，从而改变其行为。

当需要修改请求头时，我们可以创建一个 HttpServletRequestWrapper 的匿名子类（或具名子类），重写 getHeader(String name) 方法。在这个重写的方法中，我们可以根据需要检查请求头的名称，如果匹配我们想要修改的头，则返回我们自定义的值；否则，将调用委托给父类（即原始请求）的 getHeader 方法，以保持其他请求头的行为不变。

立即学习“Java免费学习笔记（深入）”；

Glimmer Ai

基于GPT-3和DALL·E2的PPT制作工具

下载

示例代码：在Filter中修改请求头

以下是如何在 Filter 中使用 HttpServletRequestWrapper 来修改特定请求头的示例：

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import javax.servlet.annotation.WebFilter; // 如果使用Servlet 3.0+注解配置

import java.io.IOException;

// 如果使用Spring Boot，可以通过@Component或配置类注册Filter
// @WebFilter(urlPatterns = "/*") // 示例：匹配所有请求
public class MyHeaderModifyingFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化逻辑（如果需要）
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest servletRequest = (HttpServletRequest) request;

        // 创建HttpServletRequestWrapper的匿名子类
        HttpServletRequestWrapper requestWrapper = new HttpServletRequestWrapper(servletRequest) {
            @Override
            public String getHeader(String name) {
                // 检查是否是我们想要修改的请求头
                if ("myHeaders".equalsIgnoreCase(name)) {
                    // 返回我们自定义的值
                    return "ModifiedValueFromFilter";
                }
                // 对于其他请求头，调用父类（即原始请求）的getHeader方法
                return super.getHeader(name);
            }

            // 如果还需要修改其他与头相关的方法，例如getHeaderNames()、getHeaders()，也需要重写
            // 例如，如果想添加一个全新的头，可能需要重写getHeaders()和getHeaderNames()
            // 但对于仅仅修改现有头的值，重写getHeader()通常足够
        };

        // 将包装后的请求对象传递给过滤链的下一个组件
        chain.doFilter(requestWrapper, response);
    }

    @Override
    public void destroy() {
        // 销毁逻辑（如果需要）
    }
}

在Spring Controller中获取修改后的请求头

经过上述 Filter 处理后，当请求到达 FooClass 控制器时，@RequestHeader 注解将能够正确获取到被修改后的值：

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestHeader;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/")
public class FooClass {

    @Autowired
    private MyService service; // 假设有一个服务类

    @GetMapping("/foo")
    public ResponseEntity<Void> fooApi(
            @RequestHeader(value = "myHeaders") String myHeaders
    ) {
        // 此时 myHeaders 的值将是 "ModifiedValueFromFilter"
        System.out.println("Received myHeaders in Controller: " + myHeaders);
        service.doSomething(myHeaders);
        return ResponseEntity.ok().build();
    }
}

注意事项与最佳实践

1. Filter的注册： 如果在Spring Boot项目中使用此Filter，可以通过 @Component 注解或通过 FilterRegistrationBean 在配置类中注册。

   // 示例：通过FilterRegistrationBean注册
   @Configuration
   public class FilterConfig {
       @Bean
       public FilterRegistrationBean<MyHeaderModifyingFilter> headerModifyingFilter() {
           FilterRegistrationBean<MyHeaderModifyingFilter> registrationBean = new FilterRegistrationBean<>();
           registrationBean.setFilter(new MyHeaderModifyingFilter());
           registrationBean.addUrlPatterns("/*"); // 配置需要过滤的URL模式
           registrationBean.setOrder(1); // 设置Filter的执行顺序
           return registrationBean;
       }
   }

2. HttpServletRequestWrapper 的局限性： 这种方法主要适用于修改已存在的请求头的值。如果需要添加一个全新的请求头，并且希望它能被 getHeaderNames() 或 getHeaders() 等方法列出，那么仅仅重写 getHeader() 是不够的，还需要重写 getHeaderNames() 和 getHeaders() 等相关方法，这会使实现变得更复杂。通常情况下，对于添加自定义数据，更推荐使用 request.setAttribute()，并在需要时通过 request.getAttribute() 获取，而不是将其伪装成HTTP请求头。
3. 性能考虑： 创建 HttpServletRequestWrapper 实例以及匿名子类会有轻微的性能开销。对于大多数应用而言，这种开销通常可以忽略不计，但在极端高并发场景下需要留意。
4. Filter链顺序： 确保你的 MyHeaderModifyingFilter 在所有需要获取修改后请求头的组件之前执行。在Spring Boot中，可以通过 FilterRegistrationBean.setOrder() 方法控制过滤器的执行顺序。
5. 替代方案：Spring HandlerInterceptor： 对于Spring MVC应用，Spring框架提供了 HandlerInterceptor 接口，它在请求进入Controller之前和之后提供拦截点。虽然 HandlerInterceptor 可以访问 HttpServletRequest 对象，但它同样面临请求头不可变的限制。如果你的需求是基于请求头进行业务逻辑判断，而不是修改其值，HandlerInterceptor 是一个很好的选择。但如果目标是修改请求头本身以影响 RequestHeader 注解的绑定，HttpServletRequestWrapper 仍然是更直接的方案。

总结

在Java Servlet Filter中动态修改HTTP请求头，以使其被后续的Controller正确识别，核心在于利用 HttpServletRequestWrapper 类。通过重写 getHeader 方法，我们能够有效地“欺骗”下游组件，使其获取到我们自定义的请求头值，而无需直接修改原始的不可变请求对象。这种模式在需要对进入应用程序的请求头进行统一预处理或定制化处理时非常有用。