Filter中判断用户是否已登录的核心是检查HttpSession中是否存在有效用户标识,需用request.getSession(false)获取会话并判空,放行登录、登出、验证码等路径,重定向前须校验response未提交且带上getContextPath()。
Filter中如何判断用户是否已登录
核心是检查 HttpSession 中是否存在有效的用户标识(如 "user" 或 "userId"),而不是解析 Cookie 或 Token 字符串。直接调用 request.getSession(false) 获取会话,避免无谓创建新 session。
-
getSession(false)返回null表示当前请求无活跃会话,可立即放行至登录页 - 若 session 存在,再用
session.getAttribute("user")检查登录态,注意判空而非仅判!= null—— 有些框架会存入Boolean.FALSE表示已注销 - 不要在 Filter 中调用
request.getSession()(无参),它会在无 session 时强制创建,导致无效 session 泛滥
哪些 URL 应该放行不验证
登录接口、静态资源、验证码生成、登出逻辑本身必须绕过验证,否则形成死循环。推荐用路径前缀白名单 + 精确匹配组合控制,避免正则误伤。
- 常见需放行路径:
"/login"、"/logout"、"/captcha"、"/static/**"、"/favicon.ico" - 使用
String.startsWith()判断前缀比Pattern更轻量;对精确路径用Objects.equals()避免 NPE - 注意:Spring Boot 的
WebMvcConfigurer和 Filter 的放行逻辑要一致,否则出现「前端能访问但接口 401」这类错位问题
验证失败时重定向到登录页的坑
不能直接 response.sendRedirect() 后就 return —— 必须调用 chain.doFilter() 或显式中断后续过滤器链,否则可能触发多次重定向或响应已提交异常。
- 调用
response.sendRedirect()前,确保response.isCommitted() == false,否则抛IllegalStateException: Cannot forward after response has been committed - 重定向后必须
return,且不再调用chain.doFilter() - 若项目用了 HTTPS,重定向地址需显式带
https://协议,否则可能跳到 HTTP 登录页,造成混合内容阻断
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
String uri = req.getRequestURI();
if (uri.startsWith("/static/") || "/login".equals(uri) || "/captcha".equals(uri)) {
chain.doFilter(request, response);
return;
}
HttpSession session = req.getSession(false);
if (session == null || session.getAttribute("user") == null) {
resp.sendRedirect(req.getContextPath() + "/login");
return; // ⚠️ 关键:终止链,不执行 chain.doFilter
}
chain.doFilter(request, response);
}
最常被忽略的是 session 失效后未清理 attribute 导致假登录态,以及重定向时没处理上下文路径(getContextPath())—— 这会让部署在子路径(如 /myapp)的应用跳转失败。
立即学习“Java免费学习笔记(深入)”;
