Filter执行顺序由web.xml中filter-mapping顺序或FilterRegistrationBean的setOrder()控制,@WebFilter配合@ServletComponentScan时顺序不可控;doFilter()中必须调用chain.doFilter()一次且仅一次,否则请求中断;包装类需逐层unwrap避免ClassCastException;Spring Security通过FilterChainProxy统一调度多条子链,自定义Filter应置于其前。
Java Web中多个Filter的执行顺序不是按代码书写顺序,而是由部署描述符或注解扫描机制控制。如果你用web.xml,顺序由@WebFilter注解,必须配合@ServletComponentScan(Spring Boot默认启用),但此时顺序不可控——JVM加载类的顺序不确定,容易出问题。
实际项目中更推荐显式配置:
FilterRegistrationBean,通过setOrder(int)精确控制顺序@WebFilter和FilterRegistrationBean,否则行为不可预测ORDER_HIGHEST_PRECEDENCE = -2147483648)@Bean public FilterRegistrationBeanloggingFilter() { FilterRegistrationBean registration = new FilterRegistrationBean<>(); registration.setFilter(new LoggingFilter()); registration.setOrder(1); registration.addUrlPatterns("/*"); return registration; }
这是最常见也最隐蔽的问题:某个 Filter在doFilter()方法中做了逻辑判断后,忘记调用chain,结果后续所有
Filter和最终的Servlet都不会执行,客户端卡住或返回空白页,日志里还看不到报错。
典型错误场景包括:
response.sendError(403),没return且没调用chain.doFilter()
return,跳过了chain.doFilter()
AsyncContext时误以为不需要继续链式调用正确做法是:只要不打算终止流程,就必须确保chain.doFilter()被调用一次且仅一次。
当某个Filter使用HttpServletRequestWrapper或HttpServletResponseWrapper包装请求/响应对象后,下游Filter再试图强转为原始类型(如HttpServletRequest)会失败,抛ClassCastException。
比如:
request为MyRequestWrapper
HttpServletRequest req = (HttpServletRequest) request; → 崩溃HttpServletRequest req = (HttpServletRequest) ((HttpServletRequestWrapper) request).getRequest();逐层unwrap如果你在Spring Security项目里看到一堆Filter没在web.xml或FilterRegistrationBean里配置,别慌——它们是被FilterChainProxy统一托管的。这个代理本身是一个Filter,注册在容器最外层,内部维护多条子链(如AntPathRequestMatcher匹配不同URL路径),每条子链又是一组Security Filter(UsernamePasswordAuthenticationFilter、ExceptionTranslationFilter等)。
这意味着:
Filter和Security Filter不在同一调度平面,顺序要分开考虑FilterChainProxy之前(order值设得比SecurityProperties.DEFAULT_FILTER_ORDER = 0更小)SecurityConfigurer或OncePerRequestFilter扩展链式调用的复杂性在这里集中爆发:既有容器级Filter链,又有框架级Filter链,两套机制嵌套,调试时务必分清入口点。