一：token 簡介

Token：訪問令牌access token, 用於介面中, 用於標識介面呼叫者的身份、憑證，減少使用者名稱和密碼的傳輸次數。一般情況下客戶端(介面呼叫方)需要先向伺服器端申請一個介面呼叫的賬號，伺服器會給出一個appId和一個key, key用於引數簽名使用，注意key儲存到客戶端，需要做一些安全處理，防止洩露。

Token的值一般是UUID，服務端生成Token後需要將token做為key，將一些和token關聯的資訊作為value儲存到快取伺服器中(redis)，當一個請求過來後，伺服器就去快取伺服器中查詢這個Token是否存在，存在則呼叫介面，不存在返回介面錯誤，一般通過攔截器或者過濾器來實現，Token分為兩種：

• API Token(介面令牌): 用於訪問不需要使用者登入的介面，如登入、註冊、一些基本資料的獲取等。獲取介面令牌需要拿appId、timestamp和sign來換，sign=加密(timestamp+key)
• USER Token(使用者令牌): 用於訪問需要使用者登入之後的介面，如：獲取我的基本資訊、儲存、修改、刪除等操作。獲取使用者令牌需要拿使用者名稱和密碼來換

關於Token的時效性：token可以是一次性的、也可以在一段時間範圍內是有效的，具體使用哪種看業務需要。

一般情況下介面最好使用https協議，如果使用http協議，Token機制只是一種減少被黑的可能性，其實只能防君子不能防小人。

一般token、timestamp和sign 三個引數會在介面中會同時作為引數傳遞，每個引數都有各自的用途。

二：timestamp 簡介

timestamp: 時間戳，是客戶端呼叫介面時對應的當前時間戳，時間戳用於防止DoS攻擊。當黑客劫持了請求的url去DoS攻擊，每次呼叫介面時介面都會判斷伺服器當前系統時間和介面中傳的的timestamp的差值，如果這個差值超過某個設定的時間(假如5分鐘)，那麼這個請求將被攔截掉，如果在設定的超時時間範圍內，是不能阻止DoS攻擊的。timestamp機制只能減輕DoS攻擊的時間，縮短攻擊時間。如果黑客修改了時間戳的值可通過sign簽名機制來處理。

DoS

DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路頻寬攻擊和連通性攻擊。

DoS攻擊是指故意的攻擊網路協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊物件的資源，目的是讓目標計算機或網路無法提供正常的服務或資源訪問，使目標系統服務系統停止響應甚至崩潰，而在此攻擊中並不包括侵入目標伺服器或目標網路裝置。這些服務資源包括網路頻寬，檔案系統空間容量，開放的程序或者允許的連線。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、記憶體容量多大、網路頻寬的速度多快都無法避免這種攻擊帶來的後果。

• Pingflood: 該攻擊在短時間內向目的主機發送大量ping包，造成網路堵塞或主機資源耗盡。
• Synflood: 該攻擊以多個隨機的源主機地址向目的主機發送SYN包，而在收到目的主機的SYN ACK後並不迴應，這樣，目的主機就為這些源主機建立了大量的連線佇列，而且由於沒有收到ACK一直維護著這

些佇列，造成了資源的大量消耗而不能向正常請求提供服務。

• Smurf：該攻擊向一個子網的廣播地址發一個帶有特定請求（如ICMP迴應請求）的包，並且將源地址偽裝成想要攻擊的主機地址。子網上所有主機都回應廣播包請求而向被攻擊主機發包，使該主機受到攻擊。
• Land-based：攻擊者將一個包的源地址和目的地址都設定為目標主機的地址，然後將該包通過IP欺騙的方式傳送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連線而陷入死迴圈，從而很大程度地降低了系統性能。
• Ping of Death：根據TCP/IP的規範，一個包的長度最大為65536位元組。儘管一個包的長度不能超過65536位元組，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大於65536位元組的包時，就是受到了Ping of Death攻擊，該攻擊會造成主機的宕機。
• Teardrop：IP資料包在網路傳遞時，資料包可以分成更小的片段。攻擊者可以通過傳送兩段（或者更多）資料包來實現TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小於N。為了合併這些資料段，TCP/IP堆疊會分配超乎尋常的巨大資源，從而造成系統資源的缺乏甚至機器的重新啟動。
• PingSweep：使用ICMP Echo輪詢多個主機。

三：sign 簡介

nonce：隨機值，是客戶端隨機生成的值，作為引數傳遞過來，隨機值的目的是增加sign簽名的多變性。隨機值一般是數字和字母的組合，6位長度，隨機值的組成和長度沒有固定規則。

sign: 一般用於引數簽名，防止引數被非法篡改，最常見的是修改金額等重要敏感引數， sign的值一般是將所有非空引數按照升續排序然後+token+key+timestamp+nonce(隨機數)拼接在一起，然後使用某種加密演算法進行加密，作為介面中的一個引數sign來傳遞，也可以將sign放到請求頭中。介面在網路傳輸過程中如果被黑客挾持，並修改其中的引數值，然後再繼續呼叫介面，雖然引數的值被修改了，但是因為黑客不知道sign是如何計算出來的，不知道sign都有哪些值構成，不知道以怎樣的順序拼接在一起的，最重要的是不知道簽名字串中的key是什麼，所以黑客可以篡改引數的值，但沒法修改sign的值，當伺服器呼叫介面前會按照sign的規則重新計算出sign的值然後和介面傳遞的sign引數的值做比較，如果相等表示引數值沒有被篡改，如果不等，表示引數被非法篡改了，就不執行介面了。

四：防止重複提交

對於一些重要的操作需要防止客戶端重複提交的(如非冪等性重要操作)，具體辦法是當請求第一次提交時將sign作為key儲存到redis，並設定超時時間，超時時間和Timestamp中設定的差值相同。當同一個請求第二次訪問時會先檢測redis是否存在該sign，如果存在則證明重複提交了，介面就不再繼續呼叫了。如果sign在快取伺服器中因過期時間到了，而被刪除了，此時當這個url再次請求伺服器時，因token的過期時間和sign的過期時間一直，sign過期也意味著token過期，那樣同樣的url再訪問伺服器會因token錯誤會被攔截掉，這就是為什麼sign和token的過期時間要保持一致的原因。拒絕重複呼叫機制確保URL被別人截獲了也無法使用（如抓取資料）。

對於哪些介面需要防止重複提交可以自定義個註解來標記。

注意：所有的安全措施都用上的話有時候難免太過複雜，在實際專案中需要根據自身情況作出裁剪，比如可以只使用簽名機制就可以保證資訊不會被篡改，或者定向提供服務的時候只用Token機制就可以了。如何裁剪，全看專案實際情況和對介面安全性的要求。

五：使用流程

1. 介面呼叫方(客戶端)向介面提供方(伺服器)申請介面呼叫賬號，申請成功後，介面提供方會給介面呼叫方一個appId和一個key引數
2. 客戶端攜帶引數appId、timestamp、sign去呼叫伺服器端的API token，其中sign=加密(appId + timestamp + key)
3. 客戶端拿著api_token 去訪問不需要登入就能訪問的介面
4. 當訪問使用者需要登入的介面時，客戶端跳轉到登入頁面，通過使用者名稱和密碼呼叫登入介面，登入介面會返回一個usertoken, 客戶端拿著usertoken 去訪問需要登入才能訪問的介面

sign的作用是防止引數被篡改，客戶端呼叫服務端時需要傳遞sign引數，伺服器響應客戶端時也可以返回一個sign用於客戶度校驗返回的值是否被非法篡改了。客戶端傳的sign和伺服器端響應的sign演算法可能會不同。

六：示例程式碼

1. dependency

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
<groupId>redis.clients</groupId>
<artifactId>jedis</artifactId>
<version>2.9.0</version>
</dependency>

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>

2. RedisConfiguration

@Configuration
publicclassRedisConfiguration{
@Bean
publicJedisConnectionFactoryjedisConnectionFactory(){
returnnewJedisConnectionFactory();
}

/**
*支援儲存物件
*@return
*/
@Bean
publicRedisTemplate<String,String>redisTemplate(){
RedisTemplate<String,String>redisTemplate=newStringRedisTemplate();
redisTemplate.setConnectionFactory(jedisConnectionFactory());
Jackson2JsonRedisSerializerjackson2JsonRedisSerializer=newJackson2JsonRedisSerializer(Object.class);
ObjectMapperobjectMapper=newObjectMapper();
objectMapper.setVisibility(PropertyAccessor.ALL,JsonAutoDetect.Visibility.ANY);
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);

jackson2JsonRedisSerializer.setObjectMapper(objectMapper);
redisTemplate.setValueSerializer(jackson2JsonRedisSerializer);
redisTemplate.afterPropertiesSet();

returnredisTemplate;
}
}

3. TokenController

@Slf4j
@RestController
@RequestMapping("/api/token")
publicclassTokenController{

@Autowired
privateRedisTemplateredisTemplate;

/**
*APIToken
*
*@paramsign
*@return
*/
@PostMapping("/api_token")
publicApiResponse<AccessToken>apiToken(StringappId,@RequestHeader("timestamp")Stringtimestamp,@RequestHeader("sign")Stringsign){
Assert.isTrue(!StringUtils.isEmpty(appId)&&!StringUtils.isEmpty(timestamp)&&!StringUtils.isEmpty(sign),"引數錯誤");

longreqeustInterval=System.currentTimeMillis()-Long.valueOf(timestamp);
Assert.isTrue(reqeustInterval<5*60*1000,"請求過期，請重新請求");

//1.根據appId查詢資料庫獲取appSecret
AppInfoappInfo=newAppInfo("1","12345678954556");

//2.校驗簽名
StringsignString=timestamp+appId+appInfo.getKey();
Stringsignature=MD5Util.encode(signString);
log.info(signature);
Assert.isTrue(signature.equals(sign),"簽名錯誤");

//3.如果正確生成一個token儲存到redis中，如果錯誤返回錯誤資訊
AccessTokenaccessToken=this.saveToken(0,appInfo,null);

returnApiResponse.success(accessToken);
}


@NotRepeatSubmit(5000)
@PostMapping("user_token")
publicApiResponse<UserInfo>userToken(Stringusername,Stringpassword){
//根據使用者名稱查詢密碼,並比較密碼(密碼可以RSA加密一下)
UserInfouserInfo=newUserInfo(username,"81255cb0dca1a5f304328a70ac85dcbd","111111");
Stringpwd=password+userInfo.getSalt();
StringpasswordMD5=MD5Util.encode(pwd);
Assert.isTrue(passwordMD5.equals(userInfo.getPassword()),"密碼錯誤");

//2.儲存Token
AppInfoappInfo=newAppInfo("1","12345678954556");
AccessTokenaccessToken=this.saveToken(1,appInfo,userInfo);
userInfo.setAccessToken(accessToken);
returnApiResponse.success(userInfo);
}

privateAccessTokensaveToken(inttokenType,AppInfoappInfo,UserInfouserInfo){
Stringtoken=UUID.randomUUID().toString();

//token有效期為2小時
Calendarcalendar=Calendar.getInstance();
calendar.setTime(newDate());
calendar.add(Calendar.SECOND,7200);
DateexpireTime=calendar.getTime();

//4.儲存token
ValueOperations<String,TokenInfo>operations=redisTemplate.opsForValue();
TokenInfotokenInfo=newTokenInfo();
tokenInfo.setTokenType(tokenType);
tokenInfo.setAppInfo(appInfo);

if(tokenType==1){
tokenInfo.setUserInfo(userInfo);
}

operations.set(token,tokenInfo,7200,TimeUnit.SECONDS);

AccessTokenaccessToken=newAccessToken(token,expireTime);

returnaccessToken;
}

publicstaticvoidmain(String[]args){
longtimestamp=System.currentTimeMillis();
System.out.println(timestamp);
StringsignString=timestamp+"1"+"12345678954556";
Stringsign=MD5Util.encode(signString);
System.out.println(sign);

System.out.println("-------------------");
signString="password=123456&username=1&12345678954556"+"ff03e64b-427b-45a7-b78b-47d9e8597d3b1529815393153sdfsdfsfs"+timestamp+"A1scr6";
sign=MD5Util.encode(signString);
System.out.println(sign);
}
}

4. WebMvcConfiguration

@Configuration
publicclassWebMvcConfigurationextendsWebMvcConfigurationSupport{

privatestaticfinalString[]excludePathPatterns={"/api/token/api_token"};

@Autowired
privateTokenInterceptortokenInterceptor;

@Override
publicvoidaddInterceptors(InterceptorRegistryregistry){
super.addInterceptors(registry);
registry.addInterceptor(tokenInterceptor)
.addPathPatterns("/api/**")
.excludePathPatterns(excludePathPatterns);
}
}
5.TokenInterceptor
@Component
publicclassTokenInterceptorextendsHandlerInterceptorAdapter{

@Autowired
privateRedisTemplateredisTemplate;

/**
*
*@paramrequest
*@paramresponse
*@paramhandler訪問的目標方法
*@return
*@throwsException
*/
@Override
publicbooleanpreHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler)throwsException{
Stringtoken=request.getHeader("token");
Stringtimestamp=request.getHeader("timestamp");
//隨機字串
Stringnonce=request.getHeader("nonce");
Stringsign=request.getHeader("sign");
Assert.isTrue(!StringUtils.isEmpty(token)&&!StringUtils.isEmpty(timestamp)&&!StringUtils.isEmpty(sign),"引數錯誤");

//獲取超時時間
NotRepeatSubmitnotRepeatSubmit=ApiUtil.getNotRepeatSubmit(handler);
longexpireTime=notRepeatSubmit==null?5*60*1000:notRepeatSubmit.value();

//2.請求時間間隔
longreqeustInterval=System.currentTimeMillis()-Long.valueOf(timestamp);
Assert.isTrue(reqeustInterval<expireTime,"請求超時，請重新請求");

//3.校驗Token是否存在
ValueOperations<String,TokenInfo>tokenRedis=redisTemplate.opsForValue();
TokenInfotokenInfo=tokenRedis.get(token);
Assert.notNull(tokenInfo,"token錯誤");

//4.校驗簽名(將所有的引數加進來，防止別人篡改引數)所有引數看引數名升續排序拼接成url
//請求引數+token+timestamp+nonce
StringsignString=ApiUtil.concatSignString(request)+tokenInfo.getAppInfo().getKey()+token+timestamp+nonce;
Stringsignature=MD5Util.encode(signString);
booleanflag=signature.equals(sign);
Assert.isTrue(flag,"簽名錯誤");

//5.拒絕重複呼叫(第一次訪問時儲存，過期時間和請求超時時間保持一致),只有標註不允許重複提交註解的才會校驗
if(notRepeatSubmit!=null){
ValueOperations<String,Integer>signRedis=redisTemplate.opsForValue();
booleanexists=redisTemplate.hasKey(sign);
Assert.isTrue(!exists,"請勿重複提交");
signRedis.set(sign,0,expireTime,TimeUnit.MILLISECONDS);
}

returnsuper.preHandle(request,response,handler);
}
}

6. MD5Util ----MD5工具類，加密生成數字簽名

publicclassMD5Util{

privatestaticfinalStringhexDigits[]={"0","1","2","3","4","5",
"6","7","8","9","a","b","c","d","e","f"};

privatestaticStringbyteArrayToHexString(byteb[]){
StringBufferresultSb=newStringBuffer();
for(inti=0;i<b.length;i++)
resultSb.append(byteToHexString(b[i]));

returnresultSb.toString();
}

privatestaticStringbyteToHexString(byteb){
intn=b;
if(n<0)
n+=256;
intd1=n/16;
intd2=n%16;
returnhexDigits[d1]+hexDigits[d2];
}

publicstaticStringencode(Stringorigin){
returnencode(origin,"UTF-8");
}
publicstaticStringencode(Stringorigin,Stringcharsetname){
StringresultString=null;
try{
resultString=newString(origin);
MessageDigestmd=MessageDigest.getInstance("MD5");
if(charsetname==null||"".equals(charsetname))
resultString=byteArrayToHexString(md.digest(resultString
.getBytes()));
else
resultString=byteArrayToHexString(md.digest(resultString
.getBytes(charsetname)));
}catch(Exceptionexception){
}
returnresultString;
}
}

7. @NotRepeatSubmit -----自定義註解，防止重複提交。

/**
*禁止重複提交
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public@interfaceNotRepeatSubmit{
/**過期時間，單位毫秒**/
longvalue()default5000;
}

8. AccessToken

@Data
@AllArgsConstructor
publicclassAccessToken{
/**token*/
privateStringtoken;

/**失效時間*/
privateDateexpireTime;
}

9. AppInfo

@Data
@NoArgsConstructor
@AllArgsConstructor
publicclassAppInfo{
/**Appid*/
privateStringappId;
/**API祕鑰*/
privateStringkey;
}

10. TokenInfo

@Data
publicclassTokenInfo{
/**token型別:api:0、user:1*/
privateIntegertokenType;

/**App資訊*/
privateAppInfoappInfo;

/**使用者其他資料*/
privateUserInfouserInfo;
}

11. UserInfo

@Data
publicclassUserInfo{
/**使用者名稱*/
privateStringusername;
/**手機號*/
privateStringmobile;
/**郵箱*/
privateStringemail;
/**密碼*/
privateStringpassword;
/**鹽*/
privateStringsalt;

privateAccessTokenaccessToken;

publicUserInfo(Stringusername,Stringpassword,Stringsalt){
this.username=username;
this.password=password;
this.salt=salt;
}
}

12. ApiCodeEnum

/**
*錯誤碼code可以使用純數字,使用不同區間標識一類錯誤，也可以使用純字元，也可以使用字首+編號
*
*錯誤碼：ERR +編號
*
*可以使用日誌級別的字首作為錯誤型別區分Info(I)Error(E)Warning(W)
*
*或者以業務模組+錯誤號
*
*TODO錯誤碼設計
*
*Alipay用了兩個code，兩個msg(https://docs.open.alipay.com/api_1/alipay.trade.pay)
*/
publicenumApiCodeEnum{
SUCCESS("10000","success"),
UNKNOW_ERROR("ERR0001","未知錯誤"),
PARAMETER_ERROR("ERR0002","引數錯誤"),
TOKEN_EXPIRE("ERR0003","認證過期"),
REQUEST_TIMEOUT("ERR0004","請求超時"),
SIGN_ERROR("ERR0005","簽名錯誤"),
REPEAT_SUBMIT("ERR0006","請不要頻繁操作"),
;

/**程式碼*/
privateStringcode;

/**結果*/
privateStringmsg;

ApiCodeEnum(Stringcode,Stringmsg){
this.code=code;
this.msg=msg;
}

publicStringgetCode(){
returncode;
}

publicStringgetMsg(){
returnmsg;
}
}

13. ApiResult

@Data
@NoArgsConstructor
@AllArgsConstructor
publicclassApiResult{

/**程式碼*/
privateStringcode;

/**結果*/
privateStringmsg;
}

14. ApiUtil -------這個參考支付寶加密的演算法寫的.我直接Copy過來了。

publicclassApiUtil{

/**
*按引數名升續拼接引數
*@paramrequest
*@return
*/
publicstaticStringconcatSignString(HttpServletRequestrequest){
Map<String,String>paramterMap=newHashMap<>();
request.getParameterMap().forEach((key,value)->paramterMap.put(key,value[0]));
//按照key升續排序，然後拼接引數
Set<String>keySet=paramterMap.keySet();
String[]keyArray=keySet.toArray(newString[keySet.size()]);
Arrays.sort(keyArray);
StringBuildersb=newStringBuilder();
for(Stringk:keyArray){
//或略掉的欄位
if(k.equals("sign")){
continue;
}
if(paramterMap.get(k).trim().length()>0){
//引數值為空，則不參與簽名
sb.append(k).append("=").append(paramterMap.get(k).trim()).append("&");
}
}

returnsb.toString();
}

publicstaticStringconcatSignString(Map<String,String>map){
Map<String,String>paramterMap=newHashMap<>();
map.forEach((key,value)->paramterMap.put(key,value));
//按照key升續排序，然後拼接引數
Set<String>keySet=paramterMap.keySet();
String[]keyArray=keySet.toArray(newString[keySet.size()]);
Arrays.sort(keyArray);
StringBuildersb=newStringBuilder();
for(Stringk:keyArray){
if(paramterMap.get(k).trim().length()>0){
//引數值為空，則不參與簽名
sb.append(k).append("=").append(paramterMap.get(k).trim()).append("&");
}
}
returnsb.toString();
}

/**
*獲取方法上的@NotRepeatSubmit註解
*@paramhandler
*@return
*/
publicstaticNotRepeatSubmitgetNotRepeatSubmit(Objecthandler){
if(handlerinstanceofHandlerMethod){
HandlerMethodhandlerMethod=(HandlerMethod)handler;
Methodmethod=handlerMethod.getMethod();
NotRepeatSubmitannotation=method.getAnnotation(NotRepeatSubmit.class);

returnannotation;
}

returnnull;
}
}

15. ApiResponse

@Data
@Slf4j
publicclassApiResponse<T>{
/**結果*/
privateApiResultresult;

/**資料*/
privateTdata;

/**簽名*/
privateStringsign;


publicstatic<T>ApiResponsesuccess(Tdata){
returnresponse(ApiCodeEnum.SUCCESS.getCode(),ApiCodeEnum.SUCCESS.getMsg(),data);
}

publicstaticApiResponseerror(Stringcode,Stringmsg){
returnresponse(code,msg,null);
}

publicstatic<T>ApiResponseresponse(Stringcode,Stringmsg,Tdata){
ApiResultresult=newApiResult(code,msg);
ApiResponseresponse=newApiResponse();
response.setResult(result);
response.setData(data);

Stringsign=signData(data);
response.setSign(sign);

returnresponse;
}

privatestatic<T>StringsignData(Tdata){
//TODO查詢key
Stringkey="12345678954556";
Map<String,String>responseMap=null;
try{
responseMap=getFields(data);
}catch(IllegalAccessExceptione){
returnnull;
}
StringurlComponent=ApiUtil.concatSignString(responseMap);
Stringsignature=urlComponent+"key="+key;
Stringsign=MD5Util.encode(signature);

returnsign;
}

/**
*@paramdata反射的物件,獲取物件的欄位名和值
*@throwsIllegalArgumentException
*@throwsIllegalAccessException
*/
publicstaticMap<String,String>getFields(Objectdata)throwsIllegalAccessException,IllegalArgumentException{
if(data==null)returnnull;
Map<String,String>map=newHashMap<>();
Field[]fields=data.getClass().getDeclaredFields();
for(inti=0;i<fields.length;i++){
Fieldfield=fields[i];
field.setAccessible(true);

Stringname=field.getName();
Objectvalue=field.get(data);
if(field.get(data)!=null){
map.put(name,value.toString());
}
}

returnmap;
}
}

七: ThreadLocal

ThreadLocal是執行緒內的全域性上下文。就是在單個執行緒中，方法之間共享的記憶體，每個方法都可以從該上下文中獲取值和修改值。

實際案例：

在呼叫api時都會傳一個token引數，通常會寫一個攔截器來校驗token是否合法，我們可以通過token找到對應的使用者資訊(User)，如果token合法，然後將使用者資訊儲存到ThreadLocal中，這樣無論是在controller、service、dao的哪一層都能訪問到該使用者的資訊。作用類似於Web中的request作用域。

傳統方式我們要在方法中訪問某個變數，可以通過傳參的形式往方法中傳參，如果多個方法都要使用那麼每個方法都要傳參；如果使用ThreadLocal所有方法就不需要傳該引數了，每個方法都可以通過ThreadLocal來訪問該值。

• ThreadLocalUtil.set("key", value); 儲存值
• T value = ThreadLocalUtil.get("key"); 獲取值

ThreadLocalUtil

publicclassThreadLocalUtil<T>{
privatestaticfinalThreadLocal<Map<String,Object>>threadLocal=newThreadLocal(){
@Override
protectedMap<String,Object>initialValue(){
returnnewHashMap<>(4);
}
};


publicstaticMap<String,Object>getThreadLocal(){
returnthreadLocal.get();
}

publicstatic<T>Tget(Stringkey){
Mapmap=(Map)threadLocal.get();
return(T)map.get(key);
}

publicstatic<T>Tget(Stringkey,TdefaultValue){
Mapmap=(Map)threadLocal.get();
return(T)map.get(key)==null?defaultValue:(T)map.get(key);
}

publicstaticvoidset(Stringkey,Objectvalue){
Mapmap=(Map)threadLocal.get();
map.put(key,value);
}

publicstaticvoidset(Map<String,Object>keyValueMap){
Mapmap=(Map)threadLocal.get();
map.putAll(keyValueMap);
}

publicstaticvoidremove(){
threadLocal.remove();
}

publicstatic<T>Map<String,T>fetchVarsByPrefix(Stringprefix){
Map<String,T>vars=newHashMap<>();
if(prefix==null){
returnvars;
}
Mapmap=(Map)threadLocal.get();
Set<Map.Entry>set=map.entrySet();

for(Map.Entryentry:set){
Objectkey=entry.getKey();
if(keyinstanceofString){
if(((String)key).startsWith(prefix)){
vars.put((String)key,(T)entry.getValue());
}
}
}
returnvars;
}

publicstatic<T>Tremove(Stringkey){
Mapmap=(Map)threadLocal.get();
return(T)map.remove(key);
}

publicstaticvoidclear(Stringprefix){
if(prefix==null){
return;
}
Mapmap=(Map)threadLocal.get();
Set<Map.Entry>set=map.entrySet();
List<String>removeKeys=newArrayList<>();

for(Map.Entryentry:set){
Objectkey=entry.getKey();
if(keyinstanceofString){
if(((String)key).startsWith(prefix)){
removeKeys.add((String)key);
}
}
}
for(Stringkey:removeKeys){
map.remove(key);
}
}
}

總結: 這個是目前第三方資料介面互動過程中常用的一些引數與使用示例，希望對大家有點幫助。

當然如果為了保證更加的安全，可以加上RSA,RSA2，AES等等加密方式，保證了資料的更加的安全，但是唯一的缺點是加密與解密比較耗費CPU的資源.