企业级SpringBoot单体项目模板 —— 使用 AOP + JWT实现登陆鉴权

企业级SpringBoot单体项目模板 —— 使用 AOP + JWT实现登陆鉴权"/>

企业级SpringBoot单体项目模板 —— 使用 AOP + JWT实现登陆鉴权

• 😜作           者：是江迪呀
• ✒️本文关键词：SpringBoot、企业级、项目模板
• ☀️每日   一言：没学会走就学跑从来都不是问题，要问问自己是不是天才，如果不是，那就要一步步来

文章目录

• 使用JWT实现登录鉴权的流程
• 一、AOP
• • 1.1 AOP依赖：
  • 1.2 AOP实现代码：
• 二、JWT
• • 2.1 JWT的工作流程
  • 2.2 依赖：
  • 2.3 JWT工具类代码：
• 三、ThreadLocal
• • 3.1 用户上下文代码：
• 四、测试
• • 4.1 登陆生成token
  • 4.2 请求业务代码

上回我们完成了代码管理，现在终于可以也一些功能性的代码了，今天我聊一下如何使用JWT+AOP+ThreadLocal实现一个在企业中比较常用的登陆鉴权的功能。

使用JWT实现登录鉴权的流程

一、AOP

使用AOP拦截业务接口，来做鉴权，并将用户信息放入到ThreadLocal中去。

1.1 AOP依赖：

    <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-aop</artifactId></dependency>

1.2 AOP实现代码：

package com.shijiangdiya.config;import com.auth0.jwt.interfaces.DecodedJWT;
import com.shijiangdiyamon.UserContent;
import com.shijiangdiya.entity.user.User;
import com.shijiangdiya.utils.JWTUtil;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;import javax.servlet.http.HttpServletRequest;@Aspect
@Component
public class JWTAOP {@Around("execution(* com.shijiangdiya.controller.user.*Controller.*(..))")//拦截com.shijiangdiya.controller.user文件下面的所有以Controller结尾的接口里面的所有方法。public Object interceptController(ProceedingJoinPoint joinPoint) throws Throwable {// 获取HttpServletRequestServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();HttpServletRequest request = attributes.getRequest();// 获取JWT tokenString token = request.getHeader("token");// 解密JWT token并获取用户信息DecodedJWT decodedJWT = JWTUtil.decodeToken(token);String userId =decodedJWT.getClaim("userId").asString();String userName = decodedJWT.getClaim("userName").asString();//将用户信息放入到ThreadLocalUser user = new User();user.setId(Long.valueOf(userId));user.setName(userName);UserContent.setUserContext(user);try {// 继续处理请求return joinPoint.proceed();} finally {// 请求结束后移除ThreadLocal中的信息UserContent.removeUserContext();}}
}

这里一定要切记手动移除ThreadLocal中的值，原因是：

• 如果你向ThreadLocal中存储了一个对象，这个对象将一直存在于ThreadLocal中，不会被垃圾回收。长时间运行的应用程序中，多次存储大量对象可能导致内存泄漏问题。
• 某些情况下，存储在ThreadLocal中的数据可能包含敏感信息，如果不手动移除，这些信息可能被其他线程访问，导致数据泄露风险。\

这也是面试的一个问题点。

二、JWT

JWT全称为JsonWebToken，是一种无状态的，与传统的session相比它不会占用服务器的内存，在扩展、安全、跨平台方面要优于session。

2.1 JWT的工作流程

2.2 依赖：

   <!--引入jwt--><dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.4.0</version></dependency>

2.3 JWT工具类代码：

package com.shijiangdiya.utils;import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.shijiangdiya.config.BusinessException;import java.util.Calendar;
import java.util.HashMap;
import java.util.Map;public class JWTUtil {// 替换为自己的密钥private static final String SECRET_KEY = "shijiangdiya";/*** 生成token* @param map* @return*/public static String generateToken(Map<String, String> map) {JWTCreator.Builder builder = JWT.create();map.forEach((k, v) -> {builder.withClaim(k, v);});Calendar instance = Calendar.getInstance();instance.add(Calendar.HOUR, 1);builder.withExpiresAt(instance.getTime());return builder.sign(Algorithm.HMAC256(SECRET_KEY));}/*** 解密token* @param token* @return*/public static DecodedJWT decodeToken(String token) {try {Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);JWTVerifier verifier = JWT.require(algorithm).build();return verifier.verify(token);} catch (Exception e) {throw new BusinessException("Token验证失败!");}}
}

三、ThreadLocal

ThreadLocal是一个线程本地变量，它允许每个线程都有自己独立的变量副本。ThreadLocal通常用于在多线程环境中存储和访问线程相关的数据，以避免线程间的数据竞争和并发问题。

一般在企业级中都会使用一个UserInfo的基础类，然后需要使用到当前登录用户信息的类要继承UserInfo，这样做代码耦合度太高。而使用Threadlocal存放用户信息，就可以避免这样的情况，不需要继承可以随处可以使用，并且线程之间相互隔离，比较方便。

3.1 用户上下文代码：

package com.shijiangdiyamon;
import com.shijiangdiya.entity.user.User;
public class UserContent {private static final ThreadLocal<User> userInfo = new ThreadLocal();/*** 获取用户信息* @return*/public static User getUserContext(){return userInfo.get();}/*** 设置用户信息* @return*/public static void setUserContext(User userContext){userInfo.set(userContext);}/*** 清除用户信息* @return*/public static void removeUserContext(){userInfo.remove();}
}

四、测试

4.1 登陆生成token

切记登陆的接口要绕过AOP的拦截。

package com.shijiangdiya.controller.login;import com.shijiangdiya.config.AbstractController;
import com.shijiangdiya.config.Response;
import com.shijiangdiya.entity.user.User;
import com.shijiangdiya.model.user.LoginUserQO;
import com.shijiangdiya.service.user.IUserService;
import com.shijiangdiya.utils.JWTUtil;
import org.apachemons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.CollectionUtils;
import org.springframework.web.bind.annotation.*;
import javax.validation.Valid;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import java.util.stream.Collectors;@RestController
@RequestMapping("/user")
public class LoginController extends AbstractController {@Autowiredprivate IUserService userService;@PostMapping("/login")public Response login(@RequestBody @Valid LoginUserQO qo){//查询数据的人员信息List<User> userInfoByName = userService.getUserByName(qo.getUserName());if(CollectionUtils.isEmpty(userInfoByName)){return new Response("401","用户不存在!",null);}List<User> collect = userInfoByName.stream().filter(user -> StringUtils.equals(user.getPassword(), qo.getPassword())).collect(Collectors.toList());if(CollectionUtils.isEmpty(collect)){return new Response("401","用户密码错误!",null);}//获取tokenMap<String,String> userInfo = new HashMap<>();userInfo.put("userId",String.valueOf(collect.get(0).getId()));userInfo.put("userName",collect.get(0).getName());String token = JWTUtil.generateToken(userInfo);return new Response("200","登陆成功!",token);}
}

4.2 请求业务代码

package com.shijiangdiya.controller.user;import com.shijiangdiyamon.UserContent;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;@RestController
@RequestMapping("/test")
public class TestController {@GetMapping("/test1")public void test1(){Long id = UserContent.getUserContext().getId();System.out.println("用户id:"+id);String userName = UserContent.getUserContext().getName();System.out.println("用户名称:"+userName);}
}

控制台输出：

用户id:2
用户名称:hubayi