用户信息必须由后端获取，不能通过前端传入的id是不可信的，，可能会出现越权的问题，，，怎么通过后端获取当前登录用户，，，
就需要将User 和 当前线程绑定在一起，，因为Servlet中的每一个请求，线程都是不同的，，，
在拦截器中，，拦截token，，将token中的用户信息，存入ThreadLocal中，，在拦截器执行过后的方法中清除ThreadLocal，防止内存泄露

public class LocalUser {private static ThreadLocal<Map<String,Object>> threadLocal = new ThreadLocal<Map<String, Object>>();public static void set(User user,Integer scope){HashMap<String, Object> map = new HashMap<>();map.put("user",user);map.put("scope",scope);LocalUser.threadLocal.set(map);}public  static  User getUser(){Map<String, Object> map = LocalUser.threadLocal.get();return (User) map.get("user");}public static Integer getScope(){Map<String, Object> map = LocalUser.threadLocal.get();return (Integer) map.get("scope");}public static void clear(){LocalUser.threadLocal.remove();}
}