ThingsBoard中实现跨Widget共享认证令牌的最佳实践

在ThingsBoard平台开发自定义仪表板时，我们经常需要创建多个自定义Widget来展示不同的数据视图。当这些Widget都需要访问后端API获取数据时，如何高效地管理认证令牌(token)就成为一个值得关注的问题。

认证令牌的基本原理

ThingsBoard采用基于JWT(JSON Web Token)的认证机制。当用户成功登录后，系统会生成一个加密的访问令牌，这个令牌会被存储在浏览器的localStorage中，键名为"jwt_token"。默认情况下，这个令牌有一定的有效期(通常为24小时)，过期后需要重新获取。

常见问题分析

许多开发者会遇到这样的场景：在多个自定义Widget中都需要调用后端API获取数据，于是每个Widget都独立实现了一套获取令牌的逻辑。这种做法会导致：

1. 重复的令牌获取请求
2. 不必要的性能开销
3. 潜在的令牌不一致风险
4. 代码冗余和维护困难

最佳实践解决方案

方案一：直接使用ThingsBoard内置服务

ThingsBoard已经为Widget提供了完善的数据访问服务，开发者无需手动处理令牌问题。例如：

// 获取设备的时间序列数据
self.ctx.attributeService.getEntityTimeseries(
    entityType, 
    entityId, 
    keys, 
    startTs, 
    endTs, 
    limit, 
    agg, 
    orderBy, 
    useStrictDataTypes
);

这些内置服务会自动处理认证问题，包括令牌的获取、刷新等全部流程。

方案二：使用HTTP服务代理

如果需要调用自定义API端点，可以使用ThingsBoard提供的HTTP服务代理：

// GET请求示例
self.ctx.http.get('/api/custom/endpoint');

// POST请求示例
self.ctx.http.post('/api/custom/endpoint', payload);

// DELETE请求示例
self.ctx.http.delete('/api/custom/endpoint');

注意API路径必须以"/api"开头，这样HTTP服务会自动附加当前用户的认证令牌。

方案三：直接访问localStorage(不推荐)

虽然技术上可行，但不建议直接操作localStorage：

const token = localStorage.getItem('jwt_token');

这种方法绕过了ThingsBoard的安全机制，可能导致令牌管理不一致，且无法享受自动刷新的便利。

性能优化建议

1. 减少API调用：合理设计Widget，合并数据请求
2. 使用缓存：对不常变化的数据实施本地缓存
3. 批量查询：尽可能使用批量查询接口减少请求次数
4. 合理设置轮询间隔：避免过于频繁的数据刷新

总结

在ThingsBoard开发中，最佳实践是充分利用平台提供的内置服务，而不是自行处理认证令牌。这不仅能保证安全性，还能简化代码、提高性能。对于特殊需求，可以使用HTTP服务代理，它同样会自动处理认证问题。直接操作令牌应该是最后的选择，且需要谨慎处理。

通过遵循这些实践，开发者可以创建出高效、安全且易于维护的ThingsBoard仪表板应用。