ThreadLocal 与 Token

最新推荐文章于 2024-06-21 11:50:19 发布
最新推荐文章于 2024-06-21 11:50:19 发布
阅读量4.4k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jesse_cool/article/details/85337859
版权

由最近一个前后端分离项目引发的思考

背景: 每次请求,token放于header中,想要获取token,每次都要通过在control层获取header,才能获取到登录信息,深感痛苦

思考:能否通过全局的Inteceptor或者Filter,去存在全局某个地方,后续请求直接拿到

 

ThreadLocal是什么

ThreadLocal是一个本地线程副本变量工具类。主要用于将私有线程和该线程存放的副本对象做一个映射,各个线程之间的变量互不干扰,在高并发场景下,可以实现无状态的调用,特别适用于各个线程依赖不通的变量值完成操作的场景。

ThreadLocal应用场景

第一个例子:数据库连接

private static ThreadLocal<Connection> connectionHolder = new ThreadLocal<Connection>() {  
    public Connection initialValue() {  
        return DriverManager.getConnection(DB_URL);  
    }  
};  
  
public static Connection getConnection() {  
    return connectionHolder.get();  

}
}

第二个例子:hibernate 处理session

第三个例子:多数据源情况下用ThreadLocal存储变量

实现原理

简单来说,就是通过Thread类维护一个

ThreadLocalMap

ThreadLocalMap是一个以ThreadLocal为key,实际要存储的变量为value的map,与ThreadLocal关系是弱引用

内存泄漏问题

        Map使用了弱引用, JVM开启GC时,没有任何强引用指向threadlocal实例,所以threadlocal将会被gc回收. 但是,我们的value却不能回收,因为存在一条从current thread连接过来的强引用. 只有当前thread结束以后, current thread就不会存在栈中,强引用断开, Current Thread, Map, value将全部被GC回收。

        所以得出一个结论就是只要这个线程对象被gc回收,就不会出现内存泄露,但在threadLocal设为null和线程结束这段时间不会被回收的,就发生了我们认为的内存泄露。其实这是一个对概念理解的不一致,也没什么好争论的。最要命的是线程对象不被回收的情况,这就发生了真正意义上的内存泄露。

比如使用线程池的时候,线程结束是不会销毁的,会再次使用的就可能出现内存泄露 。

(在web应用中,每次http请求都是一个线程,tomcat容器配置使用线程池时会出现内存泄漏问题)

使用完ThreadLocal后,执行remove操作,避免出现内存溢出情况。

或者使用private static 修饰 ThreadLocal ,这样可以全局保持有强引用,想什么时候关闭就什么关闭

 

据了解,Spring Security的SecurityContextHolder就是使用ThreadLocal来保存SecurityContext的

JWT+Spring Security

第一次登陆时

@RequestMapping(value = "/auth", method = RequestMethod.POST)
    public ResponseEntity<?> createAuthenticationToken(@RequestBody JwtAuthenticationRequest authenticationRequest) throws AuthenticationException {

        authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword());

        final UserDetails userDetails = userDetailsService.loadUserByUsername(authenticationRequest.getUsername());
        final String token = jwtTokenUtil.generateToken(userDetails);

        // Return the token
        return ResponseEntity.ok(new JwtAuthenticationResponse(token));
    }

登陆成功将token存于cookie

第二次请求接口时

先经过过滤器

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        logger.debug("processing authentication for '{}'", request.getRequestURL());

        final String requestHeader = request.getHeader(this.tokenHeader);

        String username = null;
        String authToken = null;
        if (requestHeader != null && requestHeader.startsWith("Bearer ")) {
            authToken = requestHeader.substring(7);
            try {
                username = jwtTokenUtil.getUsernameFromToken(authToken);
            } catch (IllegalArgumentException e) {
                logger.error("an error occured during getting username from token", e);
            } catch (ExpiredJwtException e) {
                logger.warn("the token is expired and not valid anymore", e);
            }
        } else {
            logger.warn("couldn't find bearer string, will ignore the header");
        }

        logger.debug("checking authentication for user '{}'", username);
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

            if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                logger.info("authorizated user '{}', setting security context", username);
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }

        chain.doFilter(request, response);
    }

tokenUtil

public Boolean validateToken(String token, UserDetails userDetails) {
        JwtUser user = (JwtUser) userDetails;
        final String username = getUsernameFromToken(token);
        final Date created = getIssuedAtDateFromToken(token);
        return (
            username.equals(user.getUsername())
                && !isTokenExpired(token)
                && !isCreatedBeforeLastPasswordReset(created, user.getLastPasswordResetDate())
        );
    }
@RequestMapping(method = RequestMethod.GET)
    @PreAuthorize("hasRole('ADMIN')")
    public ResponseEntity<?> getProtectedGreeting() {
        return ResponseEntity.ok("Greetings from admin protected method!");
    }

这样就请求成功了

后续的操作如果需要拿到全局username,可以通过

SecurityContextHolder.getContext()

 

Jesse_cool
关注
面试博弈之Threadlocal
死牛胖子的技术随笔
08-17 146
面试官:看你简历上写着熟悉并发编程 死牛胖子:是的(毫不客气…) 面试官:有用过 Threadlocal 吗? 死牛胖子:用过(这不小KS吗,但还是要表现地谦虚一点,马上开始秀起来…) 死牛胖子:Threadlocal 是一个用于保障线程安全的类,我们可以将一些数据存放到 Threadlocal 中,之后再取出来使用,Threadlocal 可以保证这些数据在不同线程间互不干扰。比如,在我们之前的项目里,会将当前用户的登录信息存放在 ThreadLocal 中,每一个请求到达后端,首先需要做登录认证,认证成
jwt token+threadlocal登录 +@ControllerAdvice统一处理登录异常
gdssgxf的博客
05-11 642
思路: 调用登录接口时,使用jwt生成token,前端调用接口时在请求头中传入token 调用请求时通过拦截去拦截,获取请求头里的token进行校验并将用户信息保存到threadlocal中 线程执行完后清除threadloal数据 (threadlocal中数据线程执行完毕后不会自动清空,需手动清除,否则可能会出现数据异常-----web中线程是从线程池中获取,创建一个线程后若此前线程的threadlocal数据未被清除,则可能会使用之前threadlocal中的数据,引起数据异常) 登录: //根据用户
使用ThreadLocal统一处理token
weixin_54355236的博客
02-17 1634
package com.tanhua.server.utils; import com.tanhua.server.pojo.User; //统一处理token public class UserThreadLocal { private static ThreadLocal<User>LOCAL=new ThreadLocal<>(); public UserThreadLocal(){ } public static
ThreadLocal存取请求Token
weixin_49118892的博客
06-17 765
有这样一个场景,A网站会多次调用B网站返回数据,前提是需要每次都携带B网站的token,由于用户与B网站用户做了一个关联,很容易拿到B的token,然后通过RestTemplate把token设置给请求头,问题就是每次请求都要先获取再设置,那么能不能获取一次呢,于是就想到了ThreadLocal,记录一下吧。 三个步骤:1、创建拦截器——>2、注册拦截器——>3、设置给RestTemplate的请求头。 2、注册拦截器 一般上面代码就注册成功了,可是我在这里拦截器没有生效,原因是项目为了解决跨域,有一个We
Java ThreadLocal
HackerSaillen的专栏
06-09 2541
背景:        最近项目中需要调用其他业务系统的服务,使用的是Java的RMI机制,但是在调用过程中中间件发生了Token校验问题。而这个问题的根源是每次用户操作,没有去set Token导致的。这个Token是存储在ThreadLocal变量中的,根据servlet的单例多线程原理,使用一个拦截器每次向Thread中写入这个token完美的解决了这个问题。   ThreadLocal
token登录 threadlocal存储当前用户信息
qq_44213900的博客
05-26 1455
碎碎念: 之前写的毕设的登录都就是“select * from user where username = name and password = pwd;”这种很简单的,也没做token校验。这次让我写个登录功能,包括token校验,用threadlocal存储用户信息,密码加密。 做登录的时候我遇到了很多问题,当然其中也有蛮多傻*问题,就是因为自己绕不清,这次写个文章整理一下。 我遇到的问题:(因为没认真写过登录,就是个小白,所以很多问题都很无脑) 密码加密了,我要怎么去库里捞用户了,密码加密不是每
ThreadLocal经典场景:登录鉴权,存储token
大梦的博客
01-25 1231
​ 可以尝试使用ThreadLocal替代Session的使用,当用户要访问需要授权的接口的时候,可以现在拦截器中将用户的Token存入ThreadLocal中;之后在本次访问中任何需要用户用户信息的都可以直接冲ThreadLocal中拿取数据。
深入理解ThreadLocal
qq_55087388的博客
05-22 391
​​​​​​ThreadLocal是什么? java.lang.ThreadLocal是JDK中提供的一个类,在并发编程中,为解决线程安全问题提供了一种用空间换时间的新思路。 在一些高并发的场景中,如果需要对公共资源进行操作,我们第一时间就会想到使用synchronized或Lock,给访问公共资源的代码上锁,来保证了代码的原子性。但是多个线程同时竞争同一把锁的时候,可能会造成大量的锁等待,可能会浪费很多时间,让系统的响应时间变慢。这个时候我们就可以考虑是否可以使用ThreadLocal
tokenthreadlocal
09-07
TokenThreadLocal是两个不同的概念。 Token是一种用于身份验证和授权的令牌,通常是一个字符串。在引用中的代码示例中,token被用于验证用户的身份和权限。validateToken方法接受一个token和一个UserDetails对象...
threadlocal 与 authentication
05-22
一旦用户通过身份验证,Web应用程序将为其分配一个身份认证令牌(如Session ID 或 Token),以便在后续的请求中进行识别和授权。 ThreadLocal 和 Authentication 的关系是,通常我们会将用户身份认证令牌存储在 ...
线程的私家小院儿:ThreadLocal
简单的老王
06-27 1986
同样的东西,不一样的理解
jjwt的token机制+ThreadLocal,模拟登录
qq_36138652的博客
11-21 229
ThreadLocal+jjwt
UserThreadLocal 用户线程Token拦截验证
qq_42553504的博客
07-22 694
注册拦截器 package com.tanhua.server.config; import com.tanhua.server.interceptor.RedisCacheInterceptor; import com.tanhua.server.interceptor.UserTokenInterceptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.cont
ThreadLocal 对象的使用
Lucy_Leezhi
02-21 1068
ThreadLocal
ThreadLocal详解
空槐树的博客
08-19 327
参考代码:openjdk-11 参考文档: 面试官连环炮轰炸的ThreadLocal 吃透源码的每一个细节和设计原理 面试官:小伙子,听说你看过ThreadLocal源码?(万字图文深度解析ThreadLocal) 基本概念 ThreadLocal java.lang.ThreadLocal 类提供线程局部变量。 每个访问一个线程(通过其 get/set 方法)都有自己的、独立初始化的变量副本。 ThreadLocal 的实例通常是“希望将状态与线程相关联”的类中的私有静态字段(例如用户 ID 或事务 .
jwttoken+threadlocal保存单个线程共享变量的两种方法(存储用户信息)
12-29 2128
文章目录jwt方法一------threadlocal存取用户数据方法二------通过header获取token,解析封装成一个信息对象 jwt 原理是通过登录接口获取jwt颁发的token,颁发时候可以将想传递的用户信息加密融入token里 public static String getJsonWebToken(UserPO userPO) { String token = Jwts.builder().setSubject(SUBJECT) /
ThreadLocal来存储Session,以便实现Session any where
悦分享
12-10 7319
1.Application对象      多个用户共享的应用级别的作用域,在服务器端,相比前两者,这个存在时间是最长的,只有当关闭服务器的时候才死亡!所以他可以活很长时间。     Application用于保存所有用户的公共的数据信息,如果使用Application对象,一个需要考虑的问题是任何写操作都要在Application_OnStart事件(global.asax)中完成.尽管使用...
ThreadLocal的使用
最新发布
m0_56356631的博客
06-21 361
这里为了更加还原真实的线上环境,直接就用了 拦截器+统一返回+全局异常捕获+ThreadLocal,项目还是比较完整的。
ThreadLocalUtil
qq_34838703的博客
10-21 346
ThreadLocalUtil
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值