jwt的使用

  • jwt + redis 使用token令牌的登录,访问认证速度快,实现session共享,安全性较高。 redis做了token令牌和用户信息的对应管理。1. 访问接口token验证【保存在客户端,避免跨站请求伪造CSRF(Cross-site request forgery)】,进一步增加了安全性 2. 登录用户做了缓存 3. 灵活控制用户的过期时间(可以续期,踢掉线等)

jwt 可以生成 一个加密的token,做为用户登录的令牌,当用户登录成功之后,发放给客户端。 当请求需要登录的资源或者接口的时候,将token携带,后端验证token是否合法。

首先在登陆之前在redis数据库中对数据进行查询,看是否存在该条数据,如果不存在的话,就去数据库查找,然后在查找到之后,在正常登录的时候将数据存储到redis中,当然这个存储信息的键值对也就是在redis查询的那个数据,然后下次如果再次执行访问的时候,在redis中就有了此数据,进而提高了访问的效率。细节:存储用户的登录信息,存储在redis中的时候使用的是hash数据结构,【hash数据结构其实就是,对应的键值对的值是一个字典类型。】此时就可以将用户携带的唯一标识作为值的键,将用户的其他某个信息作为该键的值存储起来。

private RedisTemplate redisTemplate;
redisTemplate.opsForValue().set(“TOKEN_”+token, JSON.toJSONString(sysUser),1, TimeUnit.DAYS);

线程池的使用

  • ThreadLocal 本地线程变量保存用户信息副本到每一个线程中【线程封闭,不会出现线程并发安全问题】。在请求的线程之内,可以随时获取登录的用户,在使用完ThreadLocal之后,做了对value的删除,防止了内存泄漏。

【内存泄露】

ThreadLocalMap 为 ThreadLocal 的一个静态内部类,里面定义了Entry 来保存数据。而且是继承的弱引用。在Entry内部使用ThreadLocal作为key,使用我们设置的value作为value。

如果 key threadlocal 为 null 了,这个 entry 就可以清除了。

ThreadLocalMap中的key为ThreadLocal的弱引用,当key为null时,ThreadLocal会被当成垃圾回收 。

//首先获取当前线程对象
Thread t = Thread.currentThread();
//获取线程中变量 ThreadLocal.ThreadLocalMap
ThreadLocalMap map = getMap(t); //弱引用
虽然ThreadLocalMap的key没了,但是value还在,这就造成了内存泄漏。

  • 线程安全 update table set value = [newValue] where id=[xx] and value=[oldValue]

CAS:CAS是Compare And Swap的简称,即:比较并交换。这是当前的处理器基本都支持的一种指令。每个CAS指令包括三个运算符,一个内存地址V,一个期望值A和一个新值B,CAS指令执行的时候是去判断这个地址V上的值和期望值A是否相等,相等则将地址V上的值修改为新值B,不等则不作任何操作。CAS操作实际实现是在一个循环中不断执行CAS指令,直到成功为止。

  • 线程池@Async 对当前的主业务流程无影响的操作,放入线程池执行。比如加载文章详情和文章阅读数更新,这两个业务流程需要分开执行,互不影响。

  • 文章发布 @Transactional 事务处理。

统一日志操作

  • 统一日志记录,通过定义切点、实现切面

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    @Component
    @Aspect
    @Slf4j
    public class LogAspect {

        @Pointcut("@annotation(com.zzh.common.aop.LogAnnotation)")
        public void pt(){}

        @Around("pt()")
        public Object log(ProceedingJoinPoint point) throws Throwable {
            long beginTime = System.currentTimeMillis();
            //执行方法
            Object result = point.proceed();
            //执行时长(毫秒)
            long time = System.currentTimeMillis() - beginTime;
            //保存日志
            recordLog(point, time);
            return result;

        }

    统一异常操作

  • 统一异常处,@ControllerAdvice 对所有带Controller注解的类实施异常拦截

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    //对加了@Controller注解的方法进行拦截处理 aop
    @ControllerAdvice
    public class AllExceptionHandler {

        @ExceptionHandler(Exception.class)
        @ResponseBody
        public Result handleException(Exception e) {
            e.printStackTrace();
            return Result.fail(-999,"系统异常");
        }
    }

    统一登陆操作

  • 统一登录拦截,先写Handler拦截类,再到WebConfig类配置生效

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    if(StringUtils.isBlank(token)){
        Result result = Result.fail(ErrorCode.NO_LOGIN.getCode(), "未登录");
        //设置浏览器识别返回的是json
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().print(JSON.toJSONString(result));
        return false;
    }
    SysUser sysUser = loginService.checkToken(token);
    if (sysUser == null){
        Result result = Result.fail(ErrorCode.NO_LOGIN.getCode(), "未登录");
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().print(JSON.toJSONString(result));
        return false;
    }