【Spring MVC】拦截器、JWT 认证与 ThreadLocal 数据共享笔记

已于 2024-05-16 18:03:40 修改
阅读量974 收藏 21
点赞数 38
分类专栏: 大事件笔记 文章标签: spring mvc 笔记 后端 java
于 2024-05-15 22:26:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ajsbxi/article/details/138925598
版权

文章目录

前言

在Spring MVC框架中,拦截器、JWT认证和ThreadLocal工具共同构建了强大的安全与请求处理机制。它们协同工作,确保了应用的安全性、高效性和线程安全。

拦截器(Interceptor)原理

拦截器是 Spring MVC 提供的一种面向切面编程(AOP)机制,用于在请求到达控制器(Controller)之前或之后执行特定的操作。这些操作可能包括但不限于身份验证、权限检查、日志记录、请求/响应修饰等。拦截器的实现遵循责任链模式,当一个请求到来时,它会按顺序经过一系列已配置的拦截器。

以下是一个简化的Spring MVC拦截器(Interceptor)实例,只包含了必要的preHandleafterCompletion方法,用于在请求处理前后执行操作:

javaimport org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class SimpleInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        // 如果这里返回false,请求将不会被处理
        return true; // 表示请求应继续被处理
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) {
        // 请求处理完成,但视图还未渲染,可以在此处进行一些处理,比如计算响应时间等
        System.out.println("Request handled, but before view rendering.");
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {
        // 请求完全处理完毕,无论是否抛出异常,都可以在这里进行清理工作,如关闭资源等
        System.out.println("Request completed and cleaned up.");
        
        // 如果在处理过程中出现异常,ex将不为空
        if (ex != null) {
            System.err.println("An exception occurred during request processing: " + ex.getMessage());
        }
    }
}

为了使用这个拦截器,你需要在Spring MVC的配置中注册它。如果你使用的是Java配置,可以在配置类中添加如下代码:

javaimport org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private SimpleInterceptor simpleInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 添加拦截器,可以指定路径或者排除路径
        registry.addInterceptor(simpleInterceptor)
                .addPathPatterns("/**") // 匹配所有路径
                .excludePathPatterns("/no-intercept/**"); // 排除某些路径
    }
}

这个简单的拦截器会在每次请求到达控制器之前打印一条消息,请求处理完成后(不论是否有异常)打印另一条消息,以及在视图渲染后再次打印一条消息。你可以根据需要扩展这个例子,例如添加实际的日志记录、权限检查或其他业务逻辑。

以下是一个简单的Spring MVC拦截器(Interceptor)的示例,演示了如何注册、配置以及实现拦截器的preHandleafterCompletion方法:

首先,创建一个自定义的拦截器类LoginInterceptor

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 从请求头中获取JWT Token
        String token = request.getHeader("Authorization");

        // 检查Token的有效性
        if (isValidToken(token)) {
            // 设置ThreadLocal中的用户信息
            ThreadLocalUtil.set(getUserInfoFromToken(token));
            return true; // 继续处理请求
        } else {
            // 清除ThreadLocal中的数据,防止泄露
            ThreadLocalUtil.remove();        
            return false; // 停止请求处理,返回401状态码
        }
    }

    private boolean isValidToken(String token) {
        // 这里进行Token有效性验证的逻辑,例如使用JwtUtil进行解析和验证
        return !StringUtils.isEmpty(token) && JwtUtil.validateToken(token);
    }

    private User getUserInfoFromToken(String token) {
        // 从JWT Token中获取用户信息,假设我们有这个方法
        return JwtUtil.getUserInfoFromToken(token);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 清理ThreadLocal中的数据,防止内存泄漏
        ThreadLocalUtil.remove();
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        // 可选:在目标方法执行后,视图渲染前执行的逻辑
    }
}

接下来,在Spring配置类(例如WebConfig)中注册拦截器:

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 添加拦截器并指定匹配规则
        registry.addInterceptor(loginInterceptor)
                .addPathPatterns("/api/**") // 匹配所有/api/开头的请求
                .excludePathPatterns("/api/login", "/api/register"); // 排除特定路径
    }
}

这个例子中,LoginInterceptor实现了HandlerInterceptor接口,定义了四个方法:

  • preHandle:在请求到达控制器之前执行,用于验证JWT Token并设置ThreadLocal中的用户信息。
  • afterCompletion:请求处理完成后,无论preHandle是否返回true,都会调用,用于清理ThreadLocal中的数据。
  • postHandle:在目标方法执行后,视图渲染前执行,这里可以进行一些额外的处理。
  • handleException:如果在处理请求过程中发生异常,Spring MVC会调用这个方法,但在这里并未实现。

通过上述配置,Spring MVC将在匹配的请求到达控制器之前调用LoginInterceptor,并根据preHandle的返回值决定是否继续处理请求。在请求处理结束后,无论结果如何,都会执行afterCompletion进行清理工作。

JWT(Json Web Token)原理

JWT 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。

JWT 包含三个部分:头部(Header)、载荷(Payload)、签名(Signature),它们之间由.分隔。

  • 头部:描述 JWT 的元数据,如使用的算法(如 HMAC SHA-256)。
  • 载荷:携带实际要传递的信息,如用户 ID、用户名、过期时间等。这些信息是经过 Base64 编码的 JSON 对象。
  • 签名:使用头部指定的算法,结合密钥,对头部和载荷进行加密运算,确保 JWT 数据的完整性和真实性。

使用场景:在登录过程中,服务器收到正确的用户名和密码后,生成一个包含用户信息的 JWT 并返回给客户端。客户端在后续请求中将此 JWT 放在请求头(如 Authorization 字段)中发送给服务器。服务器端拦截器通过验证 JWT 的签名来确认其有效性,并从载荷中提取用户信息。

以下是一个简化的JWT生成和验证的Java示例,使用了jjwt库,这是一个流行的Java库,用于处理JWT:

首先,确保你的项目已经添加了jjwt依赖。如果你使用的是Maven,可以在pom.xml文件中添加以下依赖:

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.4.0</version>
</dependency>

然后,你可以创建一个简单的JWT生成和验证服务类:

package com.spring.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

import java.util.Date;
import java.util.Map;

public class JwtUtil {

    private static final String KEY = "ajsbxi";

    //接收业务数据,生成token并返回
    public static String genToken(Map<String, Object> claims) {
        return JWT.create()
                .withClaim("claims", claims)
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 4))
                .sign(Algorithm.HMAC256(KEY));
    }

    //接收token,验证token,并返回业务数据
    public static Map<String, Object> parseToken(String token) {
        return JWT.require(Algorithm.HMAC256(KEY))
                .build()
                .verify(token)
                .getClaim("claims")
                .asMap();
    }

}

在这个示例中生成JWT Token (genToken方法):

  • 接收一个包含自定义数据的Map<String, Object>作为参数。
  • 使用com.auth0.jwt.JWT.create()初始化JWT构建器。
  • 通过.withClaim("claims", claims)添加自定义数据到JWT的载荷中。
  • 设置JWT的过期时间为当前时间后4小时。
  • 使用Algorithm.HMAC256(KEY)指定签名算法及密钥,然后生成最终的JWT字符串。

解析JWT Token (parseToken方法):

  • 接收JWT字符串作为输入。
  • 使用JWT.require(Algorithm.HMAC256(KEY))设置验证要求,包括签名算法及密钥。
  • 调用verify(token)验证JWT的有效性,包括签名是否正确以及是否过期。
  • 从验证通过的JWT中提取之前存储的自定义数据,即"claims"对应的值,并转换为Map<String, Object>返回。

ThreadLocal 类与 ThreadLocalUtil 工具类原理

​ ThreadLocal 是 Java 提供的一个类,用于创建线程局部变量。每个线程都有自己的 ThreadLocal 变量副本,各线程之间的 ThreadLocal 变量互不影响。这有助于在多线程环境下实现线程安全的数据传递。

使用 ThreadLocal 的优点:
  • 线程隔离:每个线程只能访问到自己的 ThreadLocal 变量副本,不会影响其他线程。
  • 简化同步:无需使用 synchronized 关键字或其他同步机制,就能保证线程间数据的隔离性。
ThreadLocalUtil 类的作用:
  • 提供了便捷的方法(如 set、get、remove)来操作 ThreadLocal 变量,隐藏了直接使用 ThreadLocal 类的细节。
  • 在登录拦截器中,将解析 JWT 得到的用户信息(载荷)存储在 ThreadLocal 中,使得在当前请求的处理过程中(包括后续的过滤器、控制器、服务等),都可以通过 ThreadLocalUtil.get() 获取到这些信息,而无需显式传递参数。
  • 在 afterCompletion 方法中清除 ThreadLocal 数据,避免内存泄漏。因为每个线程都有自己独立的 ThreadLocal 变量副本,如果不手动清除,这些副本可能会在请求处理完成后继续占用内存。

下面是一个ThreadLocalUtil工具类实现,以及一个简单的使用示例:

package com.spring.utils;

import java.util.HashMap;
import java.util.Map;

/**
 * ThreadLocal 工具类
 */
@SuppressWarnings("all")
public class ThreadLocalUtil {
    //提供ThreadLocal对象,
    private static final ThreadLocal THREAD_LOCAL = new ThreadLocal();

    //根据键获取值
    public static <T> T get(){
        return (T) THREAD_LOCAL.get();
    }
	
    //存储键值对
    public static void set(Object value){
        THREAD_LOCAL.set(value);
    }


    //清除ThreadLocal 防止内存泄漏
    public static void remove(){
        THREAD_LOCAL.remove();
    }
}
ThreadLocalUtil类:
  • private static final ThreadLocal THREAD_LOCAL = new ThreadLocal();:这是全局唯一的ThreadLocal实例,用来存储线程局部变量。
  • public static <T> T get(){}:返回ThreadLocal中存储的值,类型泛化为T,以便在不同场景下使用。
  • public static void set(Object value){}:将给定的Object值存储到ThreadLocal中。
  • public static void remove(){}:清除ThreadLocal中的值,防止内存泄漏,因为如果不清理,每个线程的副本可能会在生命周期结束后仍然占用内存。

使用示例:

package com.spring;

import org.junit.jupiter.api.Test;

/**
 * @author OceanStar
 * @create 2024-04-24 22:46
 */
public class ThreadLocalTest {

    @Test
    public void testThreadLocalSetAndGet(){
        //提供一个线程安全的ThreadLocal对象
        ThreadLocal tl = new ThreadLocal();
        //开启两个线程
        new Thread(()->{
            tl.set("萧炎");
            System.out.println(Thread.currentThread().getName()+":"+tl.get());
            System.out.println(Thread.currentThread().getName()+":"+tl.get());
            System.out.println(Thread.currentThread().getName()+":"+tl.get());
        },"蓝色").start();
        new Thread(()->{
            tl.set("药尘");
            System.out.println(Thread.currentThread().getName()+":"+tl.get());
            System.out.println(Thread.currentThread().getName()+":"+tl.get());
            System.out.println(Thread.currentThread().getName()+":"+tl.get());
        },"绿色").start();
    }
}
ThreadLocalTest测试类:
  • @Test注解表示这是一个JUnit测试方法。
  • testThreadLocalSetAndGet方法中,创建了两个线程,每个线程都有自己的ThreadLocal变量副本。
  • 每个线程内部,先设置自己的值(“萧炎"或"药尘”),然后连续获取三次,以证明每次获取到的值都是线程本地的副本。
  • 输出结果会显示每个线程有自己的独立副本,不会相互干扰。

这个示例展示了ThreadLocal如何在并发环境中为每个线程提供独立的变量副本,以及如何使用ThreadLocalUtil工具类简化操作。在实际应用中,ThreadLocalUtil通常会封装更复杂的逻辑,例如存储和检索特定类型的对象,或者提供更丰富的操作,如设置默认值、检查是否存在值等。

总结

拦截器、JWT和ThreadLocal在Web开发中扮演关键角色,提供安全认证、请求预处理和线程局部数据管理,强化了应用的安全性、效率和维护性,是构建现代Web服务不可或缺的技术栈。理解和掌握这些技术,对于提升开发质量至关重要。

ajsbxi
关注
  • 38
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客重点内容2 登录拦截器 ThreadLocal使用、线程池生产使用
QAQ
08-23 360
1.登录拦截器 重点在注释 @Component @Slf4j public class LoginInterceptor implements HandlerInterceptor{ @Autowired private LoginService loginService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object
拦截器+ThreadLocal验证用户
chengbinbbs的专栏
05-23 1017
ThreadLocal 类定义 public class UserContext { public static final ThreadLocal<String> USER_NAME = new ThreadLocal<>(); } 拦截器编写 @Component public class UserSecurityInterceptor implements HandlerInterceptor { public static final Logger log
springmvc结合jwt使用,实现前后端分离token验证
左小轩的博客
07-26 4601
1.首先需要导入maven依赖 <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-core</artifactId> <version>2.9.4</version> </...
JWT令牌、过滤器Filter、拦截器Interceptor
最新发布
m0_46702681的博客
06-16 1182
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
ThreadLocal使用,配合拦截器HandlerInterceptor使用
Bunny的博客
03-10 587
它提供了一种简单的方式来管理线程本地变量,使得每个线程都可以独立地访问和修改自己的变量副本,而不会影响其他线程的副本。需要注意的是,当前只是传入一个也可以传入多个。使用了线程封闭的设计思想,因此在使用时应当谨慎考虑其适用性,并避免滥用。我是将token放在header中的,当然也可以放在cookies中。判断当前token是否为空,如果为空返回false,不往下执行。方法来清除当前线程的变量副本,以避免内存泄漏问题。在发送请求时,携带id,最后在service层获取。在knif4j中测试,成功输出。
定义Threadlocal工具类使用拦截器统一释放资源
QJY1437758743的博客
12-25 680
定义Threadlocal工具类使用拦截器统一释放资源
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 7766
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
详解用JWTSpringCloud进行认证和鉴权
08-26
"详解用JWTSpringCloud进行认证和鉴权" 本文主要介绍了使用JSON WEB TOKEN(JWT)对SpringCloud进行认证和鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
SpringSecurity之JWT实现token认证和授权.zip
08-09
Spring Security的过滤器链会拦截这些请求,检查Authorization头中的JWT,并使用相同的密钥进行验证。如果验证成功,过滤器会解析JWT,创建一个代表当前用户的Authentication对象,并将其放入Spring Security的...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要认证,哪些URL对所有用户开放。 8. **认证Controller**:创建一个专门处理用户登录请求的Controller,接收登录...
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web Token(JWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
详解SpringCloud服务认证JWT
08-28
SpringCloud服务认证JWT)详解】 在微服务架构中,服务认证是非常关键的一环,SpringCloud提供了多种认证方式,其中JWT(JSON Web Token)因其独特的优势被广泛应用。JWT是一种基于JSON的开放标准(RFC 7519)...
SpringMVC使用JWT简单验证
laok186的博客
04-02 2296
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量...
使用JWT验证登陆(拦截器实现)
weixin_72979483的博客
06-12 949
本文主要是使用jwt进行登陆验证的代码。JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的
简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)
WWX19990724的博客
04-11 2890
拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常的时候做业务逻辑的操作。拦截器的作用类似于Servlet中的Filter,都可以用于对处理器进行预处理和后处理。在Spring MVCSpring Boot 中使用拦截器一般是实现接口。拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
SSM(Spring+Springmvc+MyBatis)+ajax+JWT,实现登录JWT(token)认证获取权限
qq_50617892的博客
05-18 574
本人最近钻研SpringMVC,都是学习感悟与个人看法,接受任何提问与建议,希望大家提出自己独特的见解,谢谢。
SpringMVCJWT token验证
scottfan的博客
05-23 1183
开发环境: MyEclipse 2017 CI 10 Spring 5.0 jar文件: jjwt-0.7.0.jar , jjwt-jackson-0.11.1.jar , jackson-annotations-2.10.0.jar ,jackson-core-2.10.0.jar ,jackson-databind-2.10.0.jar jar文件下载地址: https://repo1.maven.org/maven2/com/ jackson-annotations-2.10...
JWT登录认证(3拦截器
m0_71088505的博客
11-17 443
使用拦截器统一验证令牌。登录和注册接口需要放行。:(在config配置项中配置拦截器):(注册一个拦截器
java spring mvc jwt 鉴权
05-26
Java Spring MVC中进行JWT鉴权,可以遵循以下步骤: 1. 添加依赖项:首先需要添加以下依赖项到Maven或Gradle项目中: ``` <groupId>io.jsonwebtoken <artifactId>jjwt-api <version>0.10.5 <groupId>io....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值