Dúvida com Filter

Pessoal

Preciso realizar no meu filter uma verificação se o acesso a determinado recurso está vindo via aplicação e não via acesso direto pela URL.
Esse recurso no caso são imagens armazenadas no meu webserver.

Pois bem, setando na minha session, consigo fazer essa distinção , porém apos dar um session.setAttribute("key","allowaccess"); na minha jsp
e recuperar no meu Filter por request.getSession().getAttribute("key") o acesso via URL acaba sendo liberado enquanto o objeto ainda estiver na sessão.

Por isso acabei pensando em trabalhar com um request.setAttribute("key","allowaccess"); na minha jsp, pois “permitiria” o acesso somente para aquela requisição. O problema é que não estou conseguindo passar esse Attribute da minha jsp para meu Filter. Preciso ter um form na minha jsp para passar esse Attribute para o meu filter ? Atualmente tenho apenas uma jsp com essa linha session.setAttribute("key","allowaccess"); no topo da página na tentativa de repassar para o Filter, porém o Filter acaba recebendo null. Estou tentando capturar pelo filter assim:

@Override
	public void doFilter(ServletRequest req, ServletResponse res,
			FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		
		 HttpServletRequest  request  = (HttpServletRequest)  req;
		 HttpServletResponse response = (HttpServletResponse) res; 
		 
		 String token = request.getParameter("key");

Alguem pode me ajudar ? Como posso passar esse Attribute para o meu filter, fazendo o mesmo válido apenas para a requisição ?

Obrigado !! :wink: