Java 中 JWT 相关知识全面解析与实战指南

最新推荐文章于 2025-05-17 16:57:50 发布
原创 最新推荐文章于 2025-05-17 16:57:50 发布
· 892 阅读 · 9 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #服务器 #开发语言 #后端 #web #spring

Java 中 JWT 相关知识全面解析与实战指南

一、什么是 JWT?

JWT(JSON Web Token)是一种基于 JSON 格式的令牌,用于在双方之间安全地传输信息。它主要应用于认证授权场景,尤其在前后端分离项目中十分常见。

JWT 的结构

JWT 由三部分组成:

  1. Header(头部):描述 JWT 的元信息,比如签名算法。
  2. Payload(负载):存储用户的非敏感信息,如 userIdusername
  3. Signature(签名):用于验证数据完整性,确保令牌未被篡改。

一个 JWT 示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOjEyMywidXNlcm5hbWUiOiJqb2huZG9lIiwiaWF0IjoxNjkwOTY3NjAwLCJleHAiOjE2OTA5NzEyMDB9.aWQl3zjW7dK3WY3xOt3MzIlQbK4XkwnAs8fN8LS9hEI

解码后的结构:

  1. Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
  1. Payload:
{
  "userId": 123,
  "username": "johndoe",
  "iat": 1690967600,
  "exp": 1690971200
}
  1. Signature:
    由头部和负载通过指定算法(如 HMAC SHA256)加密生成,用于验证数据完整性。

二、JWT 的核心特点

  1. 无状态性:无需服务器存储令牌状态信息,每次请求携带 JWT 即可验证用户身份。
  2. 安全性:使用签名机制验证令牌完整性,防止篡改。
  3. 便携性:基于 Base64 编码,便于传输。

三、JWT 的常见应用场景

  1. 用户登录认证:用户登录成功后,返回 JWT 令牌用于后续请求认证。
  2. 接口权限控制:基于 JWT 中的角色信息决定用户是否有权访问某些接口。
  3. 前后端分离项目:通过 HTTP Header 携带 JWT 进行身份验证,简化开发流程。

四、如何在 Java 中使用 JWT

以下内容基于 Spring Boot 框架,结合 jjwt 库(io.jsonwebtoken),详细介绍 JWT 的生成、解析和验证。

1. 引入依赖

pom.xml 中添加 jjwt 依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId> <!-- For JSON parsing -->
    <version>0.11.5</version>
</dependency>

2. 配置 JWT 工具类

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.Claims;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {
    private static final String SECRET_KEY = "mySecretKey"; // 签名密钥
    private static final long EXPIRATION_TIME = 3600000; // 1 小时(单位:毫秒)

    /**
     * 生成 JWT Token
     *
     * @param claims 自定义的负载(如用户信息)
     * @return JWT 字符串
     */
    public static String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(new Date()) // 签发时间
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) // 过期时间
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY) // 签名算法
                .compact();
    }

    /**
     * 验证 Token 并解析
     *
     * @param token JWT 字符串
     * @return 解析后的 Claims
     */
    public static Claims validateToken(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }

    /**
     * 检查 Token 是否过期
     *
     * @param claims JWT 的 Claims
     * @return 是否过期
     */
    public static boolean isTokenExpired(Claims claims) {
        return claims.getExpiration().before(new Date());
    }
}

3. 实际项目中的使用

用户登录认证

Controller 示例:

@RestController
@RequestMapping("/auth")
public class AuthController {
    @PostMapping("/login")
    public ResponseEntity<Map<String, Object>> login(@RequestBody Map<String, String> loginData) {
        String username = loginData.get("username");
        String password = loginData.get("password");
        
        // 模拟用户验证
        if ("admin".equals(username) && "123456".equals(password)) {
            Map<String, Object> claims = new HashMap<>();
            claims.put("username", username);
            claims.put("role", "admin");
            
            String token = JwtUtil.generateToken(claims);
            Map<String, Object> response = new HashMap<>();
            response.put("token", token);
            return ResponseEntity.ok(response);
        } else {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(Map.of("message", "用户名或密码错误"));
        }
    }
}
接口权限验证

JWT 拦截器配置:

import io.jsonwebtoken.Claims;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class JwtInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("Authorization");
        if (token == null || !token.startsWith("Bearer ")) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            return false;
        }

        try {
            token = token.replace("Bearer ", "");
            Claims claims = JwtUtil.validateToken(token);
            request.setAttribute("claims", claims);
            return true;
        } catch (Exception e) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            return false;
        }
    }
}

拦截器注册:

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private JwtInterceptor jwtInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**") // 拦截所有请求
                .excludePathPatterns("/auth/login"); // 排除登录接口
    }
}

五、总结

通过本文,您了解了 JWT 的基本原理及其在 Java 项目中的实际应用,包括:

  1. JWT 的组成与特点。
  2. 使用 jjwt 库生成和验证 Token。
  3. 在实际项目中如何结合登录认证和权限控制。

JWT 是前后端分离项目中不可或缺的一部分,掌握它可以极大地提升开发效率。如果您有任何问题,欢迎在评论区留言讨论!

记得点赞、收藏 🎉

JavaJWT技术解析实践:安全高效的身份认证
weixin_41245021的博客
07-26 3235
身份认证授权是现代Web应用中至关重要的安全机制。JSON Web Token(JWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
java使用JWT
weixin_45052750的博客
04-07 438
引入依赖 官网上面链接很多java实现,这里使用java-jwt <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> </dependency> ...
java中使用JWT
男儿当自强
01-04 7338
JWT:JSON Web Token,是通过数字签名,以JSON对象为载体在服务间安全传输信息的方式。JWT由三部分组成:头信息、有效载体和签名。头信息包括:令牌类型和签名算法信息;有效载体是使用一个JSON对象作为数据内容,由于只是采用base64运算,并没有进行加密,因此通常存放一些非敏感数据;签名是采用不可逆签名算法对base64后的头信息拼接上点拼接上base64后的有效载体及签名秘钥进行运算得出,防止token信息被篡改,最后生成的Token是由base64后的头信息拼接上点拼接上base64后的
Java 使用 JWT(JSON Web Token)实现认证授权
Uzumaki_Naruto12的博客
04-21 679
通过 JJWT 库,我们可以方便地在 Java 中生成、解析和验证 JWT。JJWTJava JWT)是一个流行的 Java 库,用于创建和解析 JWTJWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用间安全地传输信息。:用户登录后,服务器返回 JWT,客户端后续请求携带该 token 进行身份验证。(载荷):存放实际数据,如用户 ID、角色、过期时间等。(签名):用于验证 token 的合法性,防止数据篡改。设置合理的过期时间(如 24 小时),避免长期有效。
Java使用JWT
热门推荐
cxmengxin的博客
07-31 1万+
JWT 一、简介 1、JWT JWT为 Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。 2、JWT结构 JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。 二、依赖 JWT需要两个依赖java-jwt、jjwt <depe
JAVAJWT令牌生成和解析(库:jjwt 版本:0.12.3)
qq_45137726的博客
01-27 3576
JWT令牌的jjwt-root库,生成和解析jwt令牌的方法。下面的代码介绍了两种密钥设置的方法。方法一自定义密钥(需满足长度>=256 bits);方法二:使用HMAC-SHA 算法生成密钥。PS:不理解的,可以看一看它的源码中相关方法的注释,再结合官方文档,就很容易理解了。
Python FastAPI库【Web 框架】全面解析实战指南
记录点滴
04-28 1024
FastAPI是一个现代化的高性能 Python Web 框架,专为构建API(应用程序编程接口)而设计。它以简洁的语法、强大的类型系统、异步支持及自动化文档生成能力著称,适用于开发高效、可扩展且易于维护的 Web 服务。detail="账户余额不足",
Spring SecurityJWT实战指南后端权限验证入门
文档中提供的标签包括"register", "jpa", "spring-security", "spring-security-jwt", "spring-security-5", "springboot", "Java"等,这些标签标明了文档或教程涉及到的关键技术点和编程语言。其中"jpa"指的是Java...
OAuth2微服务安全:深度解析实战指南
这部分关注OAuth2在微服务架构中的安全风险及其防范策略,通过具体案例和实操环节,讨论了OAuth2授权认证中心的架构实践,如如何设计和实现Eureka/Ribbon服务注册发现、Apollo配置中心、Zuul微服务网关、CAT调用链...
Web安全基础:深度解析实战指南
最新发布
2501_90994755的博客
05-17 937
Web安全是动态对抗的领域,需要持续跟踪最新威胁情报(如MITRE ATT&CK框架)、参漏洞披露社区(如CVE Details)。建议大学生通过构建个人实验室(如Proxmox VE虚拟化环境)、参开源安全项目(如Apache Security Team)积累实战经验。安全不仅是技术问题,更是涉及法律、管理和伦理的系统工程。
API网关在微服务中的关键作用:最佳实践全解析实战指南
[API网关在微服务中的关键作用:最佳实践全解析实战指南)](https://imesh.ai/blog/wp-content/uploads/2023/05/Traffic-flow-of-an-incoming-gRPC-request-through-the-API-gateway.png) # 摘要 API网关作为...
java-jwt:JSON Web令牌(JWT)的Java实现
02-03
Java JWT Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven Central和Bintray上均可用,并且Javadoc发布。 Maven < dependency> < groupId>com.auth0</ groupId> < artifactId>java-jwt</ artifactId> < version>3.12.1</ version> </ d
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器解析token,解决跨域授权的问题
JAVAjwt实战
qq_39938236的博客
01-10 478
jwt用于登陆验证后token发放,后续请求头中携带token进行鉴权操作
功能篇:JAVA使用jwt
qq_34207898的博客
12-09 1428
以上就是使用Java实现JWT认证的基本步骤。根据你的具体需求,你可能还需要调整上述代码。你需要一个API端点来接收用户凭证,并在验证成功后返回一个JWT。这个过程通常涉及到对用户名和密码的校验,然后如果它们是正确的,就生成并返回一个JWT。最后,你需要创建一个过滤器来拦截请求并验证JWT。首先,你需要在项目中添加JWT库的依赖。接下来创建一个工具类来处理JWT的创建和解析。### 3. 实现登录接口,生成JWT。### 4. 实现过滤器,验证JWT。4. 实现过滤器,验证JWT。2. 创建JWT工具类。
java生成、解析JWTjava-jwt
什么都干的派森
06-06 3761
JWT是token的一种,一个JWT字符串包含三个部分头部信息,一般不需要声明,默认为 HS256 签名算法和 JWT 令牌类型 2.Payload 包含一些默认字段,还可以自定义一些私有字段,但是不要放敏感信息 3.Signature 数据签名,对上面两部分进行数据签名,Header部分和Payload部分先进行base64Url编码,然后用英文句号拼接并加上一个自定义的secret字符串盐值进行HS256对称加密【也可以用其它算法或非对称加密】 4.组合 最后将 Header、Payload、Signa
Java——JWT详细讲解
jukuya的博客
03-21 1537
JWT 是一种用于在网络应用间安全传递声明的开放标准(RFC 7519)。它通常由三部分构成:头部(Header)、载荷(Payload)和签名(Signature),并以分隔,形成类似的字符串。JWT 是一种简单而强大的身份验证机制,适用于各种前后端分离的项目。通过本文的介绍,你应该对 JWT 的原理、工作流程和使用方法有了更深入的了解。在实际开发中,要注意 JWT 的安全问题,确保系统的安全性。希望本文能帮助你在项目中成功应用 JWT 进行登录认证。
JWT的认识以及使用
weixin_43840538的博客
08-26 304
互联网用户认证一般就是,用户向服务端发送用户名和密码,服务端通过验证后存入session,并向用户返回session_id,写入用户的cookie,而后用户的每次请求都会通过cookie返回一个session_id, 服务器通过这个ID进行身份认证。 问题 :这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据...
JWTJava中的使用详解
weixin_46031408的博客
06-05 1853
jwt框架的学习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值