Filter 的加载机制 和 Servlet 容器（如 Tomcat）的请求处理流程

Spring Boot 中Filter 的加载机制和Servlet 容器（如 Tomcat）的请求处理流程。下面我来系统性地解释为什么请求会先经过AuthFilter，以及整个流程背后的原理。

一、请求处理的基本流程（Servlet 规范）

在基于 Servlet 的 Web 应用（包括 Spring Boot 内嵌 Tomcat）中，所有 HTTP 请求都会先进入Servlet 容器（如 Tomcat），然后：

1. 容器根据 URL 匹配对应的Filter 链（Filter Chain）
2. 按照注册顺序依次执行每个 Filter 的doFilter()方法
3. 所有 Filter 执行完后，才会将请求交给目标Servlet（在 Spring Boot 中通常是DispatcherServlet）
4. DispatcherServlet再将请求分发给对应的Controller

因此：Filter 是在 Controller 之前执行的，这是 Servlet 规范决定的。

二、Spring Boot 如何注册 Filter？

Spring Boot 提供了多种方式注册自定义 Filter，常见的是通过@Bean+FilterRegistrationBean：

@Bean public FilterRegistrationBean<AuthFilter> authFilter() { FilterRegistrationBean<AuthFilter> registration = new FilterRegistrationBean<>(); registration.setFilter(new AuthFilter()); registration.setOrder(3); // 设置执行顺序 registration.addUrlPatterns("/*"); // 匹配所有请求 return registration; }

• setOrder(3)表示该 Filter 在 Filter 链中的优先级（数字越小越先执行）
• Spring Boot 启动时会自动扫描并注册这些FilterRegistrationBean
• 最终，这些 Filter 会被注册到内嵌的Tomcat Servlet 容器中

注意：除了自定义 Filter，Spring Security、字符编码 Filter（CharacterEncodingFilter）等也会被自动注册，它们也有各自的 Order。

三、Filter Chain 的执行顺序

Filter 的执行顺序由@Order注解或FilterRegistrationBean.setOrder()决定。例如：

所以当一个请求进来时：

1. Tomcat 构建匹配该 URL 的 Filter 链
2. 按 Order 从小到大依次调用每个 Filter 的doFilter()
3. 到达AuthFilter（Order=3）时，执行认证逻辑：
   • 如果认证失败 → 直接返回 401/403，不再继续调用 chain.doFilter()
   • 如果认证成功 → 调用chain.doFilter(request, response)，继续下一个 Filter 或进入 Controller

四、为什么“验证通过后才会到达 Controller”？

因为 Filter 是前置拦截器。只有当所有 Filter 都调用了chain.doFilter()，请求才会最终传递给DispatcherServlet，进而路由到你的@RestController。

如果AuthFilter发现 token 无效，它可以直接：

response.setStatus(HttpStatus.UNAUTHORIZED.value()); return; // 不调用 chain.doFilter()

这样请求就不会继续向下传递，Controller 根本不会被执行。

五、总结：关键点

补充建议

• 如果使用Spring Security，通常不需要手写AuthFilter，因为 Security 本身就是一个强大的 Filter（springSecurityFilterChain），且 Order 非常靠前（默认 -100）。
• 手动实现认证 Filter 适用于轻量级场景或定制需求。