SpringBoot通过ThreadLocal实现登录拦截

在Web应用中，登录拦截是一个常见的需求。通过拦截未登录用户的请求，可以保护系统的安全性，防止未授权用户访问敏感资源。Spring Boot 提供了多种方式来实现登录拦截，其中一种常见的方式是通过 ThreadLocal 来实现。

1. ThreadLocal 简介

ThreadLocal 是 Java 中的一个线程局部变量工具类。它为每个线程提供了一个独立的变量副本，每个线程都可以独立地改变自己的副本，而不会影响其他线程的副本。ThreadLocal 通常用于在多线程环境下保存线程的上下文信息。

在 Web 应用中，ThreadLocal 可以用来保存当前登录用户的信息，从而在请求处理过程中随时获取用户信息。

2. 实现登录拦截的步骤

2.1 定义 ThreadLocal 变量

首先，我们需要定义一个 ThreadLocal 变量来保存当前登录用户的信息。通常，我们会将用户信息封装在一个 User 对象中。

public class UserContext {
    private static final ThreadLocal<User> currentUser = new ThreadLocal<>();

    public static void setCurrentUser(User user) {
        currentUser.set(user);
    }

    public static User getCurrentUser() {
        return currentUser.get();
    }

    public static void clear() {
        currentUser.remove();
    }
}

2.2 实现登录拦截器

接下来，我们需要实现一个登录拦截器。拦截器会在请求到达控制器之前执行，我们可以在这里检查用户是否已经登录。

@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 从请求中获取用户信息（例如从Session或Token中获取）
        User user = getUserFromRequest(request);

        if (user == null) {
            // 用户未登录，返回未授权错误
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "未登录");
            return false;
        }

        // 将用户信息保存到ThreadLocal中
        UserContext.setCurrentUser(user);
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 请求完成后，清除ThreadLocal中的用户信息
        UserContext.clear();
    }

    private User getUserFromRequest(HttpServletRequest request) {
        // 实现从请求中获取用户信息的逻辑
        // 例如从Session中获取用户信息
        return (User) request.getSession().getAttribute("user");
    }
}

2.3 注册拦截器

最后，我们需要将拦截器注册到 Spring Boot 的拦截器链中。

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor)
                .addPathPatterns("/**") // 拦截所有请求
                .excludePathPatterns("/login", "/register"); // 排除登录和注册页面
    }
}

2.4 在控制器中使用 ThreadLocal

在控制器中，我们可以通过 UserContext.getCurrentUser() 来获取当前登录用户的信息。

@RestController
public class UserController {

    @GetMapping("/profile")
    public ResponseEntity<User> getProfile() {
        User user = UserContext.getCurrentUser();
        if (user == null) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
        }
        return ResponseEntity.ok(user);
    }
}

3. 总结

通过 ThreadLocal 实现登录拦截是一种简单而有效的方式。它允许我们在请求处理过程中随时获取当前登录用户的信息，并且不会影响其他线程的请求处理。在实际开发中，我们可以根据具体需求对拦截器进行扩展，例如支持 Token 验证、权限控制等。

需要注意的是，ThreadLocal 的使用需要谨慎，确保在请求完成后及时清理线程局部变量，避免内存泄漏问题。