使用JWT、攔截器與ThreadLocal實現在任意位置獲取Token中的資訊,並結合自定義註解實現對方法的鑑權

2023-11-14 15:00:29

1. 簡介

1.1 JWT

JWT,即JSON Web Token,是一種用於在網路上傳遞宣告的開放標準(RFC 7519)。JWT 可以在使用者和伺服器之間傳遞安全可靠的資訊,通常用於身份驗證和資訊交換。

  1. 宣告(Claims): JWT 包含一組稱為宣告的資訊,宣告描述了一些資料。有三種型別的宣告:
    • 註冊宣告(Registered Claims):這是一些預定義的宣告,包括標準的宣告,例如"iss"(簽發者)、"sub"(主題)和"exp"(過期時間)等。
    • 公共宣告(Public Claims):這些宣告是由使用 JWT 的雙方定義的,並且必須遵守一定的規定,以防止衝突。
    • 私有宣告(Private Claims):這些是自定義的宣告,用於在雙方之間共用資訊。
  2. 編碼結構: JWT 由三部分組成,使用點號(.)分隔開:
    • Header(頭部):包含了令牌的後設資料,例如演演算法和令牌型別。
    • Payload(載荷):包含了宣告,即實際傳輸的資料。
    • Signature(簽名):用於驗證傳送方的身份以及確保訊息的完整性。簽名由前兩部分的內容和金鑰組成,以防篡改。
  3. 編碼方法: JWT 可以使用不同的編碼方法,包括:
    • Base64 URL encoding:用於編碼頭部和載荷。
    • HMACSHA256:用於生成簽名,以確保訊息完整性。
  4. 使用場景
    • 身份驗證:使用者登入後,伺服器生成一個包含使用者資訊的JWT,並將其傳送給使用者端。使用者端在後續請求中將JWT包含在請求頭中,伺服器驗證JWT以確保請求的合法性。
    • 資訊交換:JWT還可以包含其他資訊,例如使用者的角色、存取許可權等,這些資訊可以在不需要查詢資料庫的情況下進行快速存取。

1.2 攔截器

攔截器(Interceptor)是一種用於處理請求的機制,可以讓你在請求的處理過程中進行預處理和後處理。攔截器類似於過濾器(Filter),但相比過濾器,攔截器更加專注於處理控制器層面的請求,可以對處理器的執行過程進行更加細粒度的控制。

使用場景

  • 身份驗證和授權:攔截器可以用於檢查使用者是否已經登入,是否具有足夠的許可權存取某個資源。
  • 紀錄檔記錄:攔截器可以用於記錄請求和響應的紀錄檔資訊,方便偵錯和監控。
  • 效能監控:通過攔截器,你可以記錄請求的處理時間,幫助進行效能監控。
  • 執行順序:攔截器可以設定多個,它們的執行順序由設定時的順序決定。
  • 非同步請求:攔截器也能處理非同步請求,需要實現AsyncHandlerInterceptor介面。

1.3 ThreadLocal

ThreadLocal 是 Java 中的一個類,主要用於提供了執行緒本地變數。 ThreadLocal 建立的變數只能被當前執行緒存取,其他執行緒無法直接存取或修改它。ThreadLocal 主要用於保持執行緒封閉性,即每個執行緒都擁有自己獨立的變數副本,不同執行緒之間不會相互干擾。

應用場景

  • 執行緒安全的資料傳遞:在多執行緒環境中,通過 ThreadLocal 可以輕鬆地將資料在方法呼叫間傳遞,而無需將資料作為引數傳遞。
  • 資料庫連線管理:在資料庫連線的管理中,可以使用 ThreadLocal 來儲存每個執行緒的資料庫連線,確保每個執行緒使用的是自己的連線。
  • 事務管理ThreadLocal 可以用於事務管理,確保事務的一致性。

注意:

  • ThreadLocal可以在虛擬執行緒環境下使用
  • ThreadLocal 應該謹慎使用,避免濫用。過多的使用可能導致程式碼難以理解和維護。
  • 避免在 ThreadLocal 中儲存大物件,以防止記憶體漏失。
  • 在使用執行緒池時,需要注意清理 ThreadLocal,以防止執行緒複用時出現資料汙染。

2. 程式碼實戰

2.1 引入依賴

<!-- java-jwt -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>${jwt.version}</version>
</dependency>

2.2 獲取token的函數

推薦使用@Value的方式從application.yml中獲取金鑰和過期時間

// refresh-token金鑰
@Value("${refresh-token.secret}")
private String REFRESH_TOKEN_SECRET;

// refresh-token過期時間
@Value("${refresh-token.expire-time}")
private int REFRESH_TOKEN_EXPIRE_TIME;

// refresh-token金鑰
@Value("${access-token.secret}")
private String ACCESS_TOKEN_SECRET;

// refresh-token過期時間
@Value("${access-token.expire-time}")
private int ACCESS_TOKEN_EXPIRE_TIME;

/**
 * 獲取access_token
 * @param userId
 * @param userType
 * @return
 */
private String getAccessToken(int userId, int userType){
    Calendar calendar = Calendar.getInstance();
    calendar.add(Calendar.HOUR, ACCESS_TOKEN_EXPIRE_TIME);
    return JWT.create()
            .withClaim("userId", userId)
            .withClaim("userType", userType)
            .withExpiresAt(calendar.getTime())
            .sign(Algorithm.HMAC512(ACCESS_TOKEN_SECRET));
}

/**
 * 獲取refresh_token
 * @param userId
 * @param userType
 * @return
 */
private String getRefreshToken(int userId, int userType){
    Calendar calendar = Calendar.getInstance();
    calendar.add(Calendar.HOUR, REFRESH_TOKEN_EXPIRE_TIME);
    return JWT.create()
            .withClaim("userId", userId)
            .withClaim("userType", userType)
            .withExpiresAt(calendar.getTime())
            .sign(Algorithm.HMAC512(REFRESH_TOKEN_SECRET));
}

2.3 ThreadLocal工具類

/**
 * <p>
 * 使用者SessionVO
 * </p>
 *
 * @author jonil
 * @since 2023/11/10 16:03
 */
@Data
public class UserSessionVO {

    // 使用者id
    Integer userId;
    // 使用者型別
    Integer userType;
}

/**
 * <p>
 * 使用者session上下文
 * </p>
 *
 * @author jonil
 * @since 2023/11/10 16:02
 */
public class UserSessionContext {
    private static ThreadLocal<UserSessionVO> userSessionVOThreadLocal = new ThreadLocal<>();

    public static void set(UserSessionVO userSessionVO) {
        userSessionVOThreadLocal.set(userSessionVO);
    }

    public static UserSessionVO get() {
        return userSessionVOThreadLocal.get();
    }

    public static void remove() {
        userSessionVOThreadLocal.remove();
    }
}

2.4 攔截器

此處攔截器為處理HTTP請求 各階段需要做的操作。HTTP請求進來的時候將JWT解析的資料放進ThreadLocal,出去的時候需要將資料從ThreadLocal移除,否則會造成記憶體漏失。

/**
 * <p>
 * JWT攔截器
 * </p>
 *
 * @author jonil
 * @since 2023/11/10 15:55
 */
public class JWTInterceptor implements HandlerInterceptor {

    // refresh-token金鑰
    @Value("${access-token.secret}")
    private String ACCESS_TOKEN_SECRET;

    /**
     * 將使用者基本資訊新增到ThreadLocal
     * @param request
     * @param response
     * @param handler
     * @return
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String accessToken = request.getHeader("Authorization");
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC512(ACCESS_TOKEN_SECRET)).build();
        DecodedJWT decodedJWT = jwtVerifier.verify(accessToken);

        Integer userId = decodedJWT.getClaim("userId").asInt();
        Integer userType = decodedJWT.getClaim("userType").asInt();

        UserSessionVO userSessionVO = new UserSessionVO();
        userSessionVO.setUserId(userId);
        userSessionVO.setUserType(userType);
        UserSessionContext.set(userSessionVO);
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable ModelAndView modelAndView) {

    }

    /**
     * 將使用者的基本資訊從ThreadLocal移除
     * @param request
     * @param response
     * @param handler
     * @param ex
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) {
        UserSessionContext.remove();
    }
}

2.5 使用

在需要用到JWT內容的地方,使用以下程式碼即可獲取對應的內容

UserSessionVO userSessionVO = UserSessionContext.get();
Integer userId = userSessionVO.getUserId();

3. 進階

3.1 結合自定義註解實現對方法的鑑權

角色列舉類

public enum UserType {

    systemAdmin(0),
    userAdmin(1),
    maintenancePersonnel(2),
    vipUser(3),
    user(4),
    none(5);

    UserType(int code) {
        this.code = code;
    }

    private int code;

    public int getCode() {
        return code;
    }
}

自定義註解類

/**
 * <p>
 * 自定義校驗註解
 * </p>
 *
 * @author jonil
 * @since 2023/11/13 20:05
 */
@Documented
@Target({ ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = {PermissionValidator.class})
public @interface Permission {

    UserType type() default UserType.none;

    /**
     * 是否強制校驗
     * @return
     */
    boolean required() default true;

    /**
     * 校驗不通過時的報錯資訊
     * @return
     */
    String message() default "許可權不足!";

    /**
     * 分組
     * @return
     */
    Class<?>[] groups() default {};

    /**
     * bean的負載
     * @return
     */
    Class<? extends Payload>[] payload() default {};
}

自定義註解實現類

/**
 * <p>
 * 自定義註解實現
 * </p>
 *
 * @author jonil
 * @since 2023/11/13 20:05
 */
public class PermissionValidator implements ConstraintValidator<Permission, UserType> {

    @Override
    public void initialize(Permission constraintAnnotation) {
        ConstraintValidator.super.initialize(constraintAnnotation);
    }

    /**
     * 判斷當前是否有許可權
     * @param userType object to validate
     * @param context context in which the constraint is evaluated
     *
     * @return
     */
    @Override
    public boolean isValid(UserType userType, ConstraintValidatorContext context) {
        return UserSessionContext.get().getUserType() <= userType.getCode();
    }
}

使用

/**
 * 獲取資訊介面
 */
@Permission(type = UserType.user)
@GetMapping("/info")
public R getInfo() {
    return R.success(service.getInfo());
}

註解會從ThreadLocal獲取當前使用者的型別,然後進行比對,當然你的判斷邏輯可以比這個更加複雜,只需要符合業務實現就好了。

4. 注意

倘若你是在微服務環境或分散式環境下使用這一套邏輯,需要注意在閘道器(流量閘道器、業務閘道器)和OpenFeign中攜帶原生的Header,否則獲取不到該使用者的資訊。