调用登录接口,登录成功,获得一个合法的JWT令牌。后续所有请求在请求头中携带令牌,通过拦截器拦截除登录外的所有请求,校验JWT令牌的合法性,并将当前用户id存入ThreadLocal中。
1. ThreadLocal
1.1 介绍
ThreadLocal 是 Java 提供的一种机制,用于在每个线程中独立存储数据。它确保每个线程都可以访问自己专属的数据,而不会与其他线程共享。对于并发操作,ThreadLocal 提供了一种简单的方式来避免多线程数据冲突。
1.2 常用方法
-
public void set(T value) 设置当前线程的线程局部变量的值
-
public T get() 返回当前线程所对应的线程局部变量的值
-
public void remove() 移除当前线程的线程局部变量
可以将ThreadLocal操作封装成一个工具类。
1.3 BaseContext工具类
public class BaseContext {
public static ThreadLocal<Long> threadLocal = new ThreadLocal<>();
public static void setCurrentId(Long id) {
threadLocal.set(id);
}
public static Long getCurrentId() {
return threadLocal.get();
}
public static void removeCurrentId() {
threadLocal.remove();
}
}BaseContext 类通过 ThreadLocal 来存储当前用户的 ID,在拦截器中校验通过后,将用户 ID 存入 ThreadLocal,然后在后续业务逻辑中可以通过 BaseContext.getCurrentId() 获取当前用户 ID。
2. JWT校验
通过拦截器拦截除登录外的所有请求,校验JWT令牌的合法性,并将当前用户id存入ThreadLocal中。
2.1 自定义拦截器
在JwtTokenAdminInterceptor中,通过JwtUtil.parseJWT从JWT令牌中解析出用户的ID。调用BaseContext.setCurrentId(empId),将解析出的用户ID存储到ThreadLocal中。
/**
* jwt令牌校验的拦截器
*/
@Component // 声明为Spring组件
@Slf4j // 自动生成log对象,用于日志记录
public class JwtTokenAdminInterceptor implements HandlerInterceptor { // 实现拦截器接口
@Autowired
private JwtProperties jwtProperties; // 自动注入JwtProperties配置类,用于获取JWT相关配置(如密钥、请求头字段等)
/**
* 校验jwt
* preHandle 方法在请求到达Controller之前被执行,用于校验请求是否合法。
*
* @param request HTTP请求对象
* @param response HTTP响应对象
* @param handler 处理器对象,表示处理请求的Controller方法
* @return true 表示继续执行,false 表示终止请求
* @throws Exception 在处理过程中发生异常时抛出
*/
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 判断当前拦截到的是否是Controller的方法(动态方法),而不是静态资源或其他
if (!(handler instanceof HandlerMethod)) {
// 如果拦截的不是Controller中的方法,则直接放行,不进行JWT校验
return true;
}
// 1、从请求头中获取JWT令牌,令牌名称通过jwtProperties中配置的adminTokenName获取
String token = request.getHeader(jwtProperties.getAdminTokenName());
// 2、校验令牌
try {
// 输出日志,记录即将校验的JWT令牌
log.info("jwt校验:{}", token);
// 使用JwtUtil工具类,解析JWT令牌,获取声明信息。密钥从jwtProperties中获取
Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);
// 从JWT的声明信息中提取员工ID(EMP_ID字段),并转换为Long类型
Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());
// 输出日志,记录当前请求的员工ID
log.info("当前员工id:{}", empId);
BaseContext.setCurrentId(empId);
// 3、JWT验证通过,放行请求,继续执行Controller方法
return true;
} catch (Exception ex) {
// 4、如果JWT验证不通过,捕获异常,并返回401状态码,表示未经授权
response.setStatus(401);
return false;
}
}
}2.2 注册自定义拦截器
@Slf4j
@Configuration
public class webMvcConfigration implements WebMvcConfigurer {
@Autowired
private JwtTokenAdminInterceptor jwtTokenAdminInterceptor;
/**
* 注册自定义拦截器
*
* @param registry
*/
@Override
public void addInterceptors(InterceptorRegistry registry) {
log.info("开始注册自定义拦截器...");
registry.addInterceptor(jwtTokenAdminInterceptor)
.addPathPatterns("/admin/**")
.excludePathPatterns("/admin/employee/login");
}
}
