使用JWT、拦截器与ThreadLocal实现在任意位置获取Token中的信息，并结合自定义注解实现对方法的鉴权

1. 简介

1.1 JWT

JWT，即JSON Web Token，是一种用于在网络上传递声明的开放标准（RFC 7519）。JWT 可以在用户和服务器之间传递安全可靠的信息，通常用于身份验证和信息交换。

1. 声明（Claims）： JWT 包含一组称为声明的信息，声明描述了一些数据。有三种类型的声明：
   • 注册声明（Registered Claims）：这是一些预定义的声明，包括标准的声明，例如"iss"（签发者）、"sub"（主题）和"exp"（过期时间）等。
   • 公共声明（Public Claims）：这些声明是由使用 JWT 的双方定义的，并且必须遵守一定的规定，以防止冲突。
   • 私有声明（Private Claims）：这些是自定义的声明，用于在双方之间共享信息。
2. 编码结构： JWT 由三部分组成，使用点号（.）分隔开：
   • Header（头部）：包含了令牌的元数据，例如算法和令牌类型。
   • Payload（载荷）：包含了声明，即实际传输的数据。
   • Signature（签名）：用于验证发送方的身份以及确保消息的完整性。签名由前两部分的内容和密钥组成，以防篡改。
3. 编码方法： JWT 可以使用不同的编码方法，包括：
   • Base64 URL encoding：用于编码头部和载荷。
   • HMACSHA256：用于生成签名，以确保消息完整性。
4. 使用场景：
   • 身份验证：用户登录后，服务器生成一个包含用户信息的JWT，并将其发送给客户端。客户端在后续请求中将JWT包含在请求头中，服务器验证JWT以确保请求的合法性。
   • 信息交换：JWT还可以包含其他信息，例如用户的角色、访问权限等，这些信息可以在不需要查询数据库的情况下进行快速访问。

1.2 拦截器

拦截器（Interceptor）是一种用于处理请求的机制，可以让你在请求的处理过程中进行预处理和后处理。拦截器类似于过滤器（Filter），但相比过滤器，拦截器更加专注于处理控制器层面的请求，可以对处理器的执行过程进行更加细粒度的控制。

使用场景：

• 身份验证和授权：拦截器可以用于检查用户是否已经登录，是否具有足够的权限访问某个资源。
• 日志记录：拦截器可以用于记录请求和响应的日志信息，方便调试和监控。
• 性能监控：通过拦截器，你可以记录请求的处理时间，帮助进行性能监控。

• 执行顺序：拦截器可以配置多个，它们的执行顺序由配置时的顺序决定。
• 异步请求：拦截器也能处理异步请求，需要实现AsyncHandlerInterceptor接口。

1.3 ThreadLocal

ThreadLocal 是 Java 中的一个类，主要用于提供了线程本地变量。 ThreadLocal 创建的变量只能被当前线程访问，其他线程无法直接访问或修改它。ThreadLocal 主要用于保持线程封闭性，即每个线程都拥有自己独立的变量副本，不同线程之间不会相互干扰。

应用场景：

• 线程安全的数据传递：在多线程环境中，通过 ThreadLocal 可以轻松地将数据在方法调用间传递，而无需将数据作为参数传递。
• 数据库连接管理：在数据库连接的管理中，可以使用 ThreadLocal 来存储每个线程的数据库连接，确保每个线程使用的是自己的连接。
• 事务管理：ThreadLocal 可以用于事务管理，确保事务的一致性。

注意：

• ThreadLocal可以在虚拟线程环境下使用
• ThreadLocal 应该谨慎使用，避免滥用。过多的使用可能导致代码难以理解和维护。
• 避免在 ThreadLocal 中存储大对象，以防止内存泄漏。
• 在使用线程池时，需要注意清理 ThreadLocal，以防止线程复用时出现数据污染。

2. 代码实战

2.1 引入依赖

<!-- java-jwt -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>${jwt.version}</version>
</dependency>

2.2 获取token的函数

推荐使用@Value的方式从application.yml中获取密钥和过期时间

// refresh-token密钥
@Value("${refresh-token.secret}")
private String REFRESH_TOKEN_SECRET;

// refresh-token过期时间
@Value("${refresh-token.expire-time}")
private int REFRESH_TOKEN_EXPIRE_TIME;

// refresh-token密钥
@Value("${access-token.secret}")
private String ACCESS_TOKEN_SECRET;

// refresh-token过期时间
@Value("${access-token.expire-time}")
private int ACCESS_TOKEN_EXPIRE_TIME;

/**
 * 获取access_token
 * @param userId
 * @param userType
 * @return
 */
private String getAccessToken(int userId, int userType){
    Calendar calendar = Calendar.getInstance();
    calendar.add(Calendar.HOUR, ACCESS_TOKEN_EXPIRE_TIME);
    return JWT.create()
            .withClaim("userId", userId)
            .withClaim("userType", userType)
            .withExpiresAt(calendar.getTime())
            .sign(Algorithm.HMAC512(ACCESS_TOKEN_SECRET));
}

/**
 * 获取refresh_token
 * @param userId
 * @param userType
 * @return
 */
private String getRefreshToken(int userId, int userType){
    Calendar calendar = Calendar.getInstance();
    calendar.add(Calendar.HOUR, REFRESH_TOKEN_EXPIRE_TIME);
    return JWT.create()
            .withClaim("userId", userId)
            .withClaim("userType", userType)
            .withExpiresAt(calendar.getTime())
            .sign(Algorithm.HMAC512(REFRESH_TOKEN_SECRET));
}

2.3 ThreadLocal工具类

/**
 * <p>
 * 用户SessionVO
 * </p>
 *
 * @author jonil
 * @since 2023/11/10 16:03
 */
@Data
public class UserSessionVO {

    // 用户id
    Integer userId;
    // 用户类型
    Integer userType;
}

/**
 * <p>
 * 用户session上下文
 * </p>
 *
 * @author jonil
 * @since 2023/11/10 16:02
 */
public class UserSessionContext {
    private static ThreadLocal<UserSessionVO> userSessionVOThreadLocal = new ThreadLocal<>();

    public static void set(UserSessionVO userSessionVO) {
        userSessionVOThreadLocal.set(userSessionVO);
    }

    public static UserSessionVO get() {
        return userSessionVOThreadLocal.get();
    }

    public static void remove() {
        userSessionVOThreadLocal.remove();
    }
}

2.4 拦截器

此处拦截器为处理HTTP请求前 中 后各阶段需要做的操作。HTTP请求进来的时候将JWT解析的数据放进ThreadLocal，出去的时候需要将数据从ThreadLocal移除，否则会造成内存泄漏。

/**
 * <p>
 * JWT拦截器
 * </p>
 *
 * @author jonil
 * @since 2023/11/10 15:55
 */
public class JWTInterceptor implements HandlerInterceptor {

    // refresh-token密钥
    @Value("${access-token.secret}")
    private String ACCESS_TOKEN_SECRET;

    /**
     * 将用户基本信息添加到ThreadLocal
     * @param request
     * @param response
     * @param handler
     * @return
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String accessToken = request.getHeader("Authorization");
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC512(ACCESS_TOKEN_SECRET)).build();
        DecodedJWT decodedJWT = jwtVerifier.verify(accessToken);

        Integer userId = decodedJWT.getClaim("userId").asInt();
        Integer userType = decodedJWT.getClaim("userType").asInt();

        UserSessionVO userSessionVO = new UserSessionVO();
        userSessionVO.setUserId(userId);
        userSessionVO.setUserType(userType);
        UserSessionContext.set(userSessionVO);
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable ModelAndView modelAndView) {

    }

    /**
     * 将用户的基本信息从ThreadLocal移除
     * @param request
     * @param response
     * @param handler
     * @param ex
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) {
        UserSessionContext.remove();
    }
}

2.5 使用

在需要用到JWT内容的地方，使用以下代码即可获取对应的内容

UserSessionVO userSessionVO = UserSessionContext.get();
Integer userId = userSessionVO.getUserId();

3. 进阶

3.1 结合自定义注解实现对方法的鉴权

角色枚举类

public enum UserType {

    systemAdmin(0),
    userAdmin(1),
    maintenancePersonnel(2),
    vipUser(3),
    user(4),
    none(5);

    UserType(int code) {
        this.code = code;
    }

    private int code;

    public int getCode() {
        return code;
    }
}

自定义注解类

/**
 * <p>
 * 自定义校验注解
 * </p>
 *
 * @author jonil
 * @since 2023/11/13 20:05
 */
@Documented
@Target({ ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = {PermissionValidator.class})
public @interface Permission {

    UserType type() default UserType.none;

    /**
     * 是否强制校验
     * @return
     */
    boolean required() default true;

    /**
     * 校验不通过时的报错信息
     * @return
     */
    String message() default "权限不足！";

    /**
     * 分组
     * @return
     */
    Class<?>[] groups() default {};

    /**
     * bean的负载
     * @return
     */
    Class<? extends Payload>[] payload() default {};
}

自定义注解实现类

/**
 * <p>
 * 自定义注解实现
 * </p>
 *
 * @author jonil
 * @since 2023/11/13 20:05
 */
public class PermissionValidator implements ConstraintValidator<Permission, UserType> {

    @Override
    public void initialize(Permission constraintAnnotation) {
        ConstraintValidator.super.initialize(constraintAnnotation);
    }

    /**
     * 判断当前是否有权限
     * @param userType object to validate
     * @param context context in which the constraint is evaluated
     *
     * @return
     */
    @Override
    public boolean isValid(UserType userType, ConstraintValidatorContext context) {
        return UserSessionContext.get().getUserType() <= userType.getCode();
    }
}

使用

/**
 * 获取信息接口
 */
@Permission(type = UserType.user)
@GetMapping("/info")
public R getInfo() {
    return R.success(service.getInfo());
}

注解会从ThreadLocal获取当前用户的类型，然后进行比对，当然你的判断逻辑可以比这个更加复杂，只需要符合业务实现就好了。

4. 注意

倘若你是在微服务环境或分布式环境下使用这一套逻辑，需要注意在网关（流量网关、业务网关）和OpenFeign中携带原生的Header，否则获取不到该用户的信息。