发布日期：2025-01-03 17:59    点击次数：116

前言 作为一名从业已达六年的老码农，我的工作主要是开发后端Java业务系统，包括各种管理后台和小程序等。在这些项目中，我设计过单/多租户体系系统，对接过许多开放平台，也搞过消息中心这类较为复杂的应用，但幸运的是，我至今还没有遇到过线上系统由于代码崩溃导致资损的情况。这其中的原因有三点：一是业务系统本身并不复杂；二是我一直遵循某大厂代码规约，在开发过程中尽可能按规约编写代码；三是经过多年的开发经验积累，我成为了一名熟练工，掌握了一些实用的技巧。 考虑到文字太过寡淡，我先上一张图 在Spring Boot中，默认情况下，每个请求到达时都会分配一个单独的线程来处理，而且请求的发起人也不一定都是同一个人，所以一个请求对应一个用户上下文，并且要求线程隔离，即不同线程的用户上下文互不影响，最后用户上下文还需要随着线程的结束而删除。本文我会从用户上下文如何构建、如何使用、如何删除这三个方面解释接口用户上下文的设计与实现。 本文参考项目源码地址：summo-springboot-interface-demo 一、接口用户上下文的构建、使用、清除 1. 利用Filter拦截到每一个请求 由于接口散落在各个Controller中，且绝大部分接口都是需要这个用户上下文的（注：也不排除不需要用户上下文的接口存在），所以这里需要统一入口进行创建、销毁。看起来可以使用AOP的方式来实现， 不过这里有一个更合适的方案，利用SpringBoot自带的Filter【javax.servlet.Filter】来实现。 实现起来非常简单，我这边自定义了一个WebFilter，代码如下: WebFilter.java  这段代码的核心方法是：public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)我们可以在这个方法里面获取到ServletRequest和ServletResponse，这两个类能获取到代表着我们可以操作整个请求过程，这里如何确定当前请求的用户？下面有一张流程图供大家参考： 还有一种做法是使用JWT来当做用户token，因为JWT本身就可以存储一些信息，所以我们就不需要去缓存用户信息了，直接解析JWT即可，这种做法在分布式应用中很常见。 2. 获取当前请求的线程 上面已经获取到用户信息了，现在需要将用户信息放入用户上下文中，但由于请求的发起人不一定都是同一个人，所以一个请求对应着一个用户上下文，也即一个线程设置一个上下文。那么这里就需要获取到当前线程才能设置上下文。 获取当前线程有很多办法，这里推荐使用阿里巴巴开源的TTL框架（TransmittableThreadLocal）来实现，功能强大且用法简单。 引入方法如下： 使用方法如下： 直接new一个对象就行，而且支持泛型。 3. 用户上下文生命周期管理 对于用户上下文的生命周期管理需要定义3个方法： 设置上下文用户信息;获取上下文用户信息 清除上下文用户信息 以上方法均为静态方法。 下面是一个简单的例子： GlobalUserContext.java UserContext.java 调用方式如下： 设置上下文用户信息：GlobalUserContext.setUserContext(userContext);获取上下文用户信息：GlobalUserContext.getUserContext();清除上下文用户信息：GlobalUserContext.clear(); 4. 用户上下文的使用 获取用户上下文很方便，调用GlobalUserContext.getUserContext();就行了，这里我主要讲一下用户上下文的使用场景。 a. 身份认证 可以将用户的身份认证信息（如用户名、密码、权限等）保存在用户上下文中，在需要进行鉴权的地方进行验证。 b. 用户日志记录 正如《优化接口设计的思路》系列：第三篇—在用户使用系统过程中留下痕迹 的方法三. c. 防止接口数据越权 举个例子，比如有些业务需要获取当前登录用户的信息、当前登录用户的收藏、当前登录用户的浏览记录，这样的接口总不能在接口上传一个userId吧？真要这样干了，非得给安全骂死。。。 利用用户上下文的话，接口就可以不用传递任何参数获取到当前用户的userId，实现你的需求啦。 d. 跨服务调用 在分布式系统中，可以将用户上下文信息传递给其他服务，以保持用户的一致性和连贯性。 e. 监控和统计 可以将用户上下文中的信息用于系统的监控和统计，如请求的处理时间、请求的次数等。 5. 用户上下文的删除 删除很简单，调用GlobalUserContext.clear();即可，详情可见WebFilter.java内容。 二. 用户登录&认证 上面主要是说怎么获取到接口请求的用户以及怎么设置用户上下文，但没说用户身份是什么时候确认的以及怎么确认的，这里说一下常见做法。想要确认用户信息就不得不提到用户登录&认证这套东西了，登录的方式非常多，简单的有账号密码登录、手机验证码登录，复杂的就是单点登录、三方授权登录如微信扫码、支付宝扫码等。虽然方式多，但是结果都一样的：确认当前用户身份。 当前用户身份确认好之后，系统一般会根据当前用户信息生成一个唯一的并带有时效性的token，放入下一次请求的cookie中。等到下一次请求来的时候，我们就可以从cookie中获取这个token，利用这个token获取这个用户的信息。 由于用户认证情况太多，这里我就不贴代码了，上面是账号密码登录用户认证的的时序图，供大家参考。 以上就是接口用户上下文的设计与实现的详细内容，更多关于接口用户上下文的设计与实现的资料请关注脚本之家其它相关文章！