1. 簡介
1.1 JWT
JWT,即JSON Web Token,是一種用於在網路上傳遞宣告的開放標準(RFC 7519)。JWT 可以在使用者和伺服器之間傳遞安全可靠的資訊,通常用於身份驗證和資訊交換。
- 宣告(Claims): JWT 包含一組稱為宣告的資訊,宣告描述了一些資料。有三種型別的宣告:
- 註冊宣告(Registered Claims):這是一些預定義的宣告,包括標準的宣告,例如"iss"(簽發者)、"sub"(主題)和"exp"(過期時間)等。
- 公共宣告(Public Claims):這些宣告是由使用 JWT 的雙方定義的,並且必須遵守一定的規定,以防止衝突。
- 私有宣告(Private Claims):這些是自定義的宣告,用於在雙方之間共享資訊。
- 編碼結構: JWT 由三部分組成,使用點號(.)分隔開:
- Header(頭部):包含了令牌的後設資料,例如演演算法和令牌型別。
- Payload(載荷):包含了宣告,即實際傳輸的資料。
- Signature(簽名):用於驗證傳送方的身份以及確保訊息的完整性。簽名由前兩部分的內容和金鑰組成,以防篡改。
- 編碼方法: JWT 可以使用不同的編碼方法,包括:
- Base64 URL encoding:用於編碼頭部和載荷。
- HMACSHA256:用於生成簽名,以確保訊息完整性。
- 使用場景:
- 身份驗證:使用者登入後,伺服器生成一個包含使用者資訊的JWT,並將其傳送給客戶端。客戶端在後續請求中將JWT包含在請求頭中,伺服器驗證JWT以確保請求的合法性。
- 資訊交換:JWT還可以包含其他資訊,例如使用者的角色、訪問許可權等,這些資訊可以在不需要查詢資料庫的情況下進行快速訪問。
1.2 攔截器
攔截器(Interceptor)是一種用於處理請求的機制,可以讓你在請求的處理過程中進行預處理和後處理。攔截器類似於過濾器(Filter),但相比過濾器,攔截器更加專注於處理控制器層面的請求,可以對處理器的執行過程進行更加細粒度的控制。
使用場景:
- 身份驗證和授權:攔截器可以用於檢查使用者是否已經登入,是否具有足夠的許可權訪問某個資源。
- 日誌記錄:攔截器可以用於記錄請求和響應的日誌資訊,方便除錯和監控。
- 效能監控:透過攔截器,你可以記錄請求的處理時間,幫助進行效能監控。
- 執行順序:攔截器可以配置多個,它們的執行順序由配置時的順序決定。
- 非同步請求:攔截器也能處理非同步請求,需要實現
AsyncHandlerInterceptor介面。
1.3 ThreadLocal
ThreadLocal 是 Java 中的一個類,主要用於提供了執行緒本地變數。 ThreadLocal 建立的變數只能被當前執行緒訪問,其他執行緒無法直接訪問或修改它。ThreadLocal 主要用於保持執行緒封閉性,即每個執行緒都擁有自己獨立的變數副本,不同執行緒之間不會相互干擾。
應用場景:
- 執行緒安全的資料傳遞:在多執行緒環境中,透過
ThreadLocal可以輕鬆地將資料在方法呼叫間傳遞,而無需將資料作為引數傳遞。 - 資料庫連線管理:在資料庫連線的管理中,可以使用
ThreadLocal來儲存每個執行緒的資料庫連線,確保每個執行緒使用的是自己的連線。 - 事務管理:
ThreadLocal可以用於事務管理,確保事務的一致性。
注意:
- ThreadLocal可以在虛擬執行緒環境下使用
ThreadLocal應該謹慎使用,避免濫用。過多的使用可能導致程式碼難以理解和維護。- 避免在
ThreadLocal中儲存大物件,以防止記憶體洩漏。- 在使用執行緒池時,需要注意清理
ThreadLocal,以防止執行緒複用時出現資料汙染。
2. 程式碼實戰
2.1 引入依賴
<!-- java-jwt -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>${jwt.version}</version>
</dependency>
2.2 獲取token的函式
推薦使用@Value的方式從application.yml中獲取金鑰和過期時間
// refresh-token金鑰
@Value("${refresh-token.secret}")
private String REFRESH_TOKEN_SECRET;
// refresh-token過期時間
@Value("${refresh-token.expire-time}")
private int REFRESH_TOKEN_EXPIRE_TIME;
// refresh-token金鑰
@Value("${access-token.secret}")
private String ACCESS_TOKEN_SECRET;
// refresh-token過期時間
@Value("${access-token.expire-time}")
private int ACCESS_TOKEN_EXPIRE_TIME;
/**
* 獲取access_token
* @param userId
* @param userType
* @return
*/
private String getAccessToken(int userId, int userType){
Calendar calendar = Calendar.getInstance();
calendar.add(Calendar.HOUR, ACCESS_TOKEN_EXPIRE_TIME);
return JWT.create()
.withClaim("userId", userId)
.withClaim("userType", userType)
.withExpiresAt(calendar.getTime())
.sign(Algorithm.HMAC512(ACCESS_TOKEN_SECRET));
}
/**
* 獲取refresh_token
* @param userId
* @param userType
* @return
*/
private String getRefreshToken(int userId, int userType){
Calendar calendar = Calendar.getInstance();
calendar.add(Calendar.HOUR, REFRESH_TOKEN_EXPIRE_TIME);
return JWT.create()
.withClaim("userId", userId)
.withClaim("userType", userType)
.withExpiresAt(calendar.getTime())
.sign(Algorithm.HMAC512(REFRESH_TOKEN_SECRET));
}
2.3 ThreadLocal工具類
/**
* <p>
* 使用者SessionVO
* </p>
*
* @author jonil
* @since 2023/11/10 16:03
*/
@Data
public class UserSessionVO {
// 使用者id
Integer userId;
// 使用者型別
Integer userType;
}
/**
* <p>
* 使用者session上下文
* </p>
*
* @author jonil
* @since 2023/11/10 16:02
*/
public class UserSessionContext {
private static ThreadLocal<UserSessionVO> userSessionVOThreadLocal = new ThreadLocal<>();
public static void set(UserSessionVO userSessionVO) {
userSessionVOThreadLocal.set(userSessionVO);
}
public static UserSessionVO get() {
return userSessionVOThreadLocal.get();
}
public static void remove() {
userSessionVOThreadLocal.remove();
}
}
2.4 攔截器
此處攔截器為處理HTTP請求前 中 後各階段需要做的操作。HTTP請求進來的時候將JWT解析的資料放進ThreadLocal,出去的時候需要將資料從ThreadLocal移除,否則會造成記憶體洩漏。
/**
* <p>
* JWT攔截器
* </p>
*
* @author jonil
* @since 2023/11/10 15:55
*/
public class JWTInterceptor implements HandlerInterceptor {
// refresh-token金鑰
@Value("${access-token.secret}")
private String ACCESS_TOKEN_SECRET;
/**
* 將使用者基本資訊新增到ThreadLocal
* @param request
* @param response
* @param handler
* @return
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
String accessToken = request.getHeader("Authorization");
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC512(ACCESS_TOKEN_SECRET)).build();
DecodedJWT decodedJWT = jwtVerifier.verify(accessToken);
Integer userId = decodedJWT.getClaim("userId").asInt();
Integer userType = decodedJWT.getClaim("userType").asInt();
UserSessionVO userSessionVO = new UserSessionVO();
userSessionVO.setUserId(userId);
userSessionVO.setUserType(userType);
UserSessionContext.set(userSessionVO);
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable ModelAndView modelAndView) {
}
/**
* 將使用者的基本資訊從ThreadLocal移除
* @param request
* @param response
* @param handler
* @param ex
*/
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) {
UserSessionContext.remove();
}
}
2.5 使用
在需要用到JWT內容的地方,使用以下程式碼即可獲取對應的內容
UserSessionVO userSessionVO = UserSessionContext.get();
Integer userId = userSessionVO.getUserId();
3. 進階
3.1 結合自定義註解實現對方法的鑑權
角色列舉類
public enum UserType {
systemAdmin(0),
userAdmin(1),
maintenancePersonnel(2),
vipUser(3),
user(4),
none(5);
UserType(int code) {
this.code = code;
}
private int code;
public int getCode() {
return code;
}
}
自定義註解類
/**
* <p>
* 自定義校驗註解
* </p>
*
* @author jonil
* @since 2023/11/13 20:05
*/
@Documented
@Target({ ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = {PermissionValidator.class})
public @interface Permission {
UserType type() default UserType.none;
/**
* 是否強制校驗
* @return
*/
boolean required() default true;
/**
* 校驗不透過時的報錯資訊
* @return
*/
String message() default "許可權不足!";
/**
* 分組
* @return
*/
Class<?>[] groups() default {};
/**
* bean的負載
* @return
*/
Class<? extends Payload>[] payload() default {};
}
自定義註解實現類
/**
* <p>
* 自定義註解實現
* </p>
*
* @author jonil
* @since 2023/11/13 20:05
*/
public class PermissionValidator implements ConstraintValidator<Permission, UserType> {
@Override
public void initialize(Permission constraintAnnotation) {
ConstraintValidator.super.initialize(constraintAnnotation);
}
/**
* 判斷當前是否有許可權
* @param userType object to validate
* @param context context in which the constraint is evaluated
*
* @return
*/
@Override
public boolean isValid(UserType userType, ConstraintValidatorContext context) {
return UserSessionContext.get().getUserType() <= userType.getCode();
}
}
使用
/**
* 獲取資訊介面
*/
@Permission(type = UserType.user)
@GetMapping("/info")
public R getInfo() {
return R.success(service.getInfo());
}
註解會從ThreadLocal獲取當前使用者的型別,然後進行比對,當然你的判斷邏輯可以比這個更加複雜,只需要符合業務實現就好了。
4. 注意
倘若你是在微服務環境或分散式環境下使用這一套邏輯,需要注意在閘道器(流量閘道器、業務閘道器)和OpenFeign中攜帶原生的Header,否則獲取不到該使用者的資訊。