Java 后端企业级开发实战：权限控制、缓存优化与并发处理

Token 无感刷新机制

采用 JWT + Redis 组合方案。JWT 保证无状态传输，Redis 存储用户会话以便实现强制登出和续期失效。

核心流程

1. 创建 Token：生成 UUID 作为唯一标识，构建 Claims 载荷，使用 HS512 签名生成 JWT。同时将用户信息存入 Redis，Key 格式为 LOGIN_USER:{tokenId}:{username}。
2. 验证 Token：解析 JWT 获取 Payload，根据 Key 从 Redis 查询用户信息。若 Redis 中不存在或解析失败，视为无效。
3. 刷新 Token：当检测到剩余有效期不足 30 分钟时，生成新 Token 并更新 Redis 过期时间。关键点：必须同步删除旧 Token 对应的 Redis 记录，防止旧令牌仍有效导致的安全风险。

public String refreshToken(HttpServletRequest request) {
    Long expireTime = tokenService.getExpireTime(request);
    if (expireTime < 30 * 60) {
        String oldToken = tokenService.getToken(request);
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (loginUser == null) {
            throw new BusinessException(ResponseCode.AUTHENTICATION_FAIL, "旧 Token 无效，无法刷新");
        }
        String newToken = tokenService.createToken(loginUser);
        // 显式失效旧 Token
        tokenService.invalidateOldToken(oldToken);
        return newToken;
    }
    return tokenService.getToken(request);
}

核心业务模块实现

缓存策略与并发控制

针对高频查询场景（如企业下拉列表），采用全量缓存加载策略。为防止缓存击穿，引入双重校验加锁机制。

public List<Company> cacheAll() {
    final String cacheKey = "company:all";
    List<Company> cachedList = redisService.get(cacheKey, List.class);
    if (cachedList != null) {
        return cachedList;
    }
    synchronized (cacheLock) {
        cachedList = redisService.get(cacheKey, List.class);
        if (cachedList != null) {
            return cachedList;
        }
        List<Company> list = list();
        redisService.set(cacheKey, list, 3600);
        return list;
    }
}

对于写操作（新增、修改、删除），使用 @Lock4j 注解结合 Redisson 实现分布式锁，确保高并发下的数据一致性。例如删除企业时，需校验关联设备与子账号，并在事务提交后清理缓存。

参数校验与分页封装

利用 @Validated 注解自动校验入参合法性，避免冗余的 if-else 判断。分页查询通过 PageUtil 工具类统一封装，将 Entity 转换为 VO 的同时透传分页元数据，保持前后端数据结构的一致性。

基础组件封装

Redis 通用服务

封装 RedisService 接口，屏蔽底层 RedisTemplate 的差异。提供统一的序列化配置（Jackson JSON），支持 String、Hash、Set、List 等多种结构的操作，并处理复杂的 Key 模糊匹配删除逻辑。

异步任务编排

使用 CompletableFuture 替代传统线程池手动管理，简化异步编程逻辑。支持串行、并行、任意完成等多种组合模式，并适配自定义线程池以避免资源耗尽。

// 并行初始化企业配置与权限，全部完成后返回结果
public CompletableFuture<Boolean> asyncInitCompany(Long companyId) {
    CompletableFuture<Boolean> configFuture = CompletableFuture.supplyAsync(() -> {
        companyConfigMapper.init(companyId);
        return true;
    }, asyncPool);
    CompletableFuture<Boolean> permissionFuture = CompletableFuture.supplyAsync(() -> {
        companyPermissionMapper.init(companyId);
        return true;
    }, asyncPool);
    return CompletableFuture.allOf(configFuture, permissionFuture)
            .thenApply(v -> configFuture.join() && permissionFuture.join())
            .exceptionally(e -> { log.error("初始化失败", e); return false; });
}

日志与监控

通过 AOP 切面统一记录操作日志，自动脱敏敏感字段（如密码）。日志异步写入，避免阻塞主业务流程。同时配置 Logback 异步 Appender，平衡性能与日志完整性。

常见问题与解决方案

缓存失效问题

初期发现 removeCache() 方法调用后缓存并未真正失效，原因是缓存键未被外部业务正确引用。修复方案是确保所有读取路径均经过缓存查询逻辑，且删除操作准确命中缓存 Key。

Token 续期漏洞

在 Token 续期逻辑中，仅生成新 Token 而未删除旧 Token 的 Redis 记录，导致同一账号可持有多个有效令牌。修复方案是在生成新 Token 后立即调用 invalidateOldToken 清理旧记录，确保单点登录/登出的安全性。

定时任务线程池

Spring 默认调度器为单线程，易造成任务阻塞。通过 SchedulingConfigurer 自定义 ThreadPoolTaskScheduler，设置核心线程数、等待关闭策略及线程命名，提升定时任务的并发能力与可观测性。