spring boot项目使用threadlocal存储用户信息实现数据权限控制

最新推荐文章于 2024-05-10 16:54:55 发布
最新推荐文章于 2024-05-10 16:54:55 发布
阅读量3.7k 收藏 13
点赞数 1
分类专栏: 工作总结 文章标签: ThreadLocal使用 ThreadLocal存储用户
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bird_tp/article/details/117297856
版权

一、博客背景

    项目是前后端分离的spring boot项目,前端将标识用户信息的code存储在cookie中,当实现从cookie中获取到code值后,再查询数据库获取数据用户信息后,如何将用户信息一层一层的往下传递?有人可能将用户信息存储到HttpServletRequest请求中,后续需要用到用户信息的时候,再从HttpServletRequest中获取。如果在dao层需要用户信息,还需要将HttpServletRequest一层一层传递,或者说在controller中获取到用户信息一层一层传递。而我的做法是用ThreadLocal来存储用户信息,这样在后续的代码里可以直接获取用户信息。

二、实现原理

1.对于请求到后端来的请求,每次都是不同的线程执行。即一次请求的发起,就会从线程池中取出一个线程取执行业务。详情可自行了解。

2.ThreadLocal提供线程局部变量;一个变量用在多个线程中分别有独立的值(副本)

三、代码实现

UserContext类,定义ThreadLocal的静态变量,用于存储用户信息

import com.tp.common.exception.TokenException;
import com.tp.common.model.BaseUserDTO;


public class UserContext {
    private static final ThreadLocal<BaseUserDTO> user = new ThreadLocal<>();

    private UserContext() {
    }

    public static Long getUserId() {
        BaseUserDTO baseUserDTO = getUser();
        return baseUserDTO.getId();
    }

    public static BaseUserDTO getUser() {
        BaseUserDTO baseUser = user.get();
        if (null == baseUser) {
            throw new TokenException("登录失效,请重新登录!");
        }
        return baseUser;
    }



    public static void setBaseUser(BaseUserDTO baseUser) {
        user.set(baseUser);
    }

    public static void remove() {
        user.remove();
    }

}

拦截器类,用于设置用户信息到ThreadLocal中,并且在DispatcherServlet完全处理完请求后移除ThreadLoca中的用户信息

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;


import com.tp.common.constant.CacheConstant;
import com.tp.common.constant.CommonConstant;
import com.tp.common.exception.TokenException;
import com.tp.common.model.BaseUserDTO;
import com.tp.common.utils.IpUtils;
import com.tp.dao.model.query.UserQuery;
import com.tp.dao.model.user.User;
import com.tp.service.cache.CacheService;
import com.tp.service.user.UserService;
import com.tp.service.threadlocal.UserContext;
import com.tp.service.utils.JwtUtil;
import com.tp.web.config.ExampleDataIdConfig;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.CollectionUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.annotation.Annotation;
import java.text.ParseException;
import java.util.List;


@Slf4j
@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private UserService userService;

    @Autowired
    private CacheService cacheService;

    @Autowired
    ExampleDataIdConfig exampleDataIdConfig;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws ParseException {
        

        String token = getToken(request);
        log.info("token值:{}", token);
        if (StringUtils.isBlank(token)) {
            log.error("url:{} token is null", request.getRequestURL());
            throw new TokenException(IpUtils.getIpAddr(request), "登录失效,请重新登录!");
        }


        //验证token是否过期
        try {
            DecodedJWT decodedJWT = JwtUtil.parseToken(token);
            Claim userCodeClaim = decodedJWT.getClaim("code");
            String code = userCodeClaim != null ? userCodeClaim.as(String.class) : null;
            if (code == null) {
                log.error("code is null");
                throw new TokenException("登录失效,请重新登录!code is null");
            }

            User user = null;
            String key = CacheConstant.USER_INFO + code;
            JSONObject value = (JSONObject) cacheService.get(key);
            if (value != null) {
                user = JSON.toJavaObject(value, User.class);
            } else {
                UserQuery query = new UserQuery();
                query.setCode(code);
                List<User> userList = userService.getUserListByQuery(query);
                if (CollectionUtils.isEmpty(userList)) {
                    log.error("userList is null");
                    throw new TokenException("登录失效,请重新登录!msg:用户不存在");
                }
                user = userList.get(0);
                cacheService.setExpire(key, user, CacheConstant.KEY_NO_EXIST, CacheConstant.SECOND, CacheConstant.USER_INFO_EXPIRE_TIME);
            }
            BaseUserDTO baseUserDTO = new BaseUserDTO();
            baseUserDTO.setCode(user.getCode());
            baseUserDTO.setId(user.getId());
            baseUserDTO.setPhone(user.getPhone());
            UserContext.setBaseUser(baseUserDTO);
            log.info("登录信息:" + JSON.toJSONString(baseUserDTO));
        } catch (Exception e) {
            log.error("登录失效,请重新登录!", e);
            throw new TokenException("登录失效,请重新登录!", e);
        }
        return true;
    }

    

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
                           ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {
        UserContext.remove();
    }

   
}

service方法中使用

    /**
     * 获取手机号
     *
     * @return 手机号
     */
    private String getPhone() {
        String phone;
        try {
            phone = UserContext.getUser().getPhone();
        } catch (Exception exception) {
            phone = "no login";
        }
        return phone;
    }

四、代码讲解

1、拦截器

preHandle:在业务处理器处理请求之前被调用。预处理,可以进行编码、安全控制、权限校验等处理;
postHandle:在业务处理器处理请求执行完成后,生成视图之前执行。后处理(调用了Service并返回ModelAndView,但未进行页面渲染),有机会修改ModelAndView (这个博主就基本不怎么用了);
afterCompletion:在DispatcherServlet完全处理完请求后被调用,可用于清理资源等。返回处理(已经渲染了页面);


2、ThreadLocal

ThreadLocal的作用主要是做数据隔离,填充的数据只属于当前线程,变量的数据对别的线程而言是相对隔离的,在多线程环境下,如何防止自己的变量被其它线程篡改。详情可以自行了解

bird_tp
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring aop 拦截业务方法,实现权限控制示例
08-31
Spring AOP(面向切面编程)是Spring框架的一个重要组件,它允许我们在不修改业务代码的情况下,通过代理机制对特定的“切点”(方法、类等)进行增强,实现如日志记录、事务管理、权限控制等功能。在这个示例,...
Spring-boot项目数据源配置
08-30
Spring Boot项目,多数据源配置是一项关键的技术,它允许我们连接并操作多个数据库,这对于数据隔离、读写分离或者分布式系统来说是至关重要的。本篇将详细讲解如何在基于Maven构建的Spring Boot应用实现多...
springboot通过threadLocal+参数解析器实现保存当前用户登录信息
m0_55045698的博客
03-29 1178
首先先介绍一下threadLocal
springboot拦截器保存登录信息ThreadLocal
iceforg123的博客
03-25 4615
1.ThreadLocal 是什么 从名字我们就可以看到ThreadLocal 叫做本地线程变量,意思是说,ThreadLocal 填充的的是当前线程的变量,该变量对其他线程而言是封闭且隔离的,ThreadLocal 为变量在每个线程创建了一个副本,这样每个线程都可以访问自己内部的副本变量。 1、在进行对象跨层传递的时候,使用ThreadLocal可以避免多次传递,打破层次间的约束。 2、线程间数据隔离 3、进行事务操作,用于存储线程事务信息。 4、数据库连接,Session会话管理。 内部实现 创建
SpringBoot整合SpringScurity权限控制(菜单权限,按钮权限)以及加上SSH实现安全传输
最新发布
qq_63946922的博客
05-10 1281
如果你在设计一个需要存储用户密码的系统,强烈建议使用 bcrypt、PBKDF2 或 Argon2 而不是 MD5。这些现代算法提供了更高级别的安全保障,可以帮助你的系统抵御当前的威胁,如暴力破解和彩虹表攻击。选择正确的密码存储策略是保护用户数据安全的关键一步。
springboot获取用户id--threadLocal && jwt
m0_73967798的博客
10-18 716
【代码】springboot获取用户id--threadLocal && jwt。
Springboot-ThreadLocal使用
qq_33879443的博客
07-19 3807
本文章介绍ThreadLocal使用-保存Session对象-用与Mybatisplus更新用户字段的自动填充
springboot如何使用ThreadLocal
weixin_38295272的博客
07-13 3436
ThreadLocal的作用:用来存当前线程的局部变量,不同线程间互不干扰。拿完数据记得需要移除数据,不然JVM不会将ThreadLocal回收(可能还会被引用),多了就会出现内存泄漏的情况。 springboot如何使用ThreadLocal? 其实很简单,就是将ThreadLocal变成一个bean(也就是初始化ThreadLocal),在不同层间用同一个对象就行。 写一个小demo。 1.初始化ThreadLocal package com.yblue.config; import org.spr
SpringBoot+SpringCloud用户信息微服务传递实现解析
08-25
UserInfoContext 使用 ThreadLocal 变量来存储用户信息实现了微服务之间的数据共享。 知识点五:TransmitUserInfoFeignClientIntercepter 的实现 TransmitUserInfoFeignClientIntercepter 是一个 ...
spring boot数据源动态切换代码实例
08-25
Spring Boot 项目,多数据信息配置是通过 application.properties 文件或 application.yml 文件来实现的。在这个文件,我们可以配置多个数据源的信息,例如用户名、密码、url 等。 例如,我们可以在 ...
spring boot数据项目
11-22
通过这个项目,开发者可以快速理解和实践Spring Boot数据源的整合,了解如何在实际项目实现数据源的切换和管理,以及Thymeleaf模板引擎的使用。这将有助于提升开发效率,为复杂的企业级应用提供稳定的基础架构...
SpringBoot--使用ThreadLocal保存每次请求的用户信息
IT利刃出鞘的博客
09-21 2346
本文介绍如何使用ThreadLocal保存每次请求的用户信息。 保存之后,后边的业务操作就可以获取(Controller或者Service都可以,只要在一个请求)。
ThreadLocalSpringBoot项目的应用场景
qq_41625866的博客
07-20 859
ThreadLocalSpringBoot项目的应用场景
springboot登陆拦截器+Jwt+ThreadLocal 组合使用
小哇
09-21 2043
登陆接口。
详解ThreadLocal
文化园
03-24 3072
Thread存储线程独有的变量(存储多个变量(值)时,可以创建多个ThreadLocal用来存储),以供在整个线程存活过程取用。这种能力由ThreadLocalThreadLocalMap实现。Thread在存储自己独有变量时,ThreadLocal实例在该Thread环境内使用set方法实现变量(值)存储。(继续探究原理)实际是静态内部类ThreadLocalMap将该变量(值)以key=ThreadLocal实例,value=变量(值)的键值对对象Entry形式存储到了ThreadLocalMap
Springboot——关于Springboot线程池时使用ThreadLocal 类的一个小小的漏洞
测试
10-03 543
神奇的ThreadLocal
spring boot如何实现用户登录状态的保存
weixin_42589700的博客
12-22 1381
Spring Boot通常使用Spring Security来实现用户登录状态的保存。 Spring Security是一个功能强大的安全框架,可以帮助您保护应用程序免受各种攻击,包括身份验证和授权。 要在Spring Boot应用程序使用Spring Security,您需要项目添加spring-boot-starter-security依赖项。然后,您可以使用@EnableWebSecu...
SpringBoot使用JWT实现Token登录校验
培根芝士的专栏
05-16 1657
JWT全称JSON Web Token,实现过程简单的说就是用户登录成功之后,将用户的信息进行加密,然后生成一个token返回给客户端,与传统的session交互没太大区别。 区别就是token存放了用户的基本信息,更直观一点就是将原本放入redis的用户数据,放入到token去了。 1、导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt<
SpringBoot 快速集成 JWT 实现用户登录认证
热门推荐
何哥的博客
04-11 1万+
前言:当今前后端分离时代,基于Token的会话保持机制比传统的Session/Cookie机制更加方便,下面我会介绍SpringBoot快速集成JWT库java-jwt以完成用户登录认证。 一、JWT 简介 1.1、 JWT的概念 JWT 是 JSON Web Token 的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT...
ThreadLocal存储用户信息
07-29
ThreadLocal是一种线程局部变量,可以在每个线程存储和访问数据,而不会被其他线程访问到。在多线程环境下,可以使用ThreadLocal存储用户信息,以便在后续的代码直接获取用户信息。 具体实现原理如下: 1. 在UserContext类定义了一个静态的ThreadLocal变量,用于存储用户信息\[2\]。 2. 当用户登录成功后,将用户信息存储ThreadLocal,通过调用setBaseUser方法\[2\]。 3. 在后续的代码,可以通过调用getUser方法来获取当前线程存储用户信息\[2\]。 4. 当用户请求处理完成后,可以通过调用remove方法来清除当前线程存储用户信息,以防止内存泄漏\[2\]。 使用ThreadLocal存储用户信息的好处是可以避免在代码一层一层传递HttpServletRequest或其他对象来获取用户信息\[3\]。每个线程都有自己独立的ThreadLocal变量,可以在当前线程直接获取用户信息,提高了代码的简洁性和可读性。 需要注意的是,由于ThreadLocal的特性,需要在适当的时候调用remove方法来清除ThreadLocal数据,以防止内存泄漏\[1\]。在登录拦截,可以在controller执行完成后的afterCompletion方法调用remove方法来清除用户信息\[1\]。 总结起来,ThreadLocal可以用于存储用户信息,通过在每个线程存储和获取数据,避免了在代码一层一层传递对象的繁琐操作,提高了代码的简洁性和可读性。同时,需要注意在适当的时候调用remove方法来清除ThreadLocal数据,以防止内存泄漏。 #### 引用[.reference_title] - *1* [ThreadLocal存储用户登录信息](https://blog.csdn.net/weixin_46000937/article/details/126828778)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v4^insert_chatgpt"}} ] [.reference_item] - *2* *3* [spring boot项目使用threadlocal存储用户信息实现数据权限控制](https://blog.csdn.net/bird_tp/article/details/117297856)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v4^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值