全栈开发必备:JWT 登录鉴权核心原理与 Spring Boot + Vue 前后端实战

原创 于 2025-12-21 20:37:52 发布 · 654 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #vue.js #后端 #学习

2025博客之星年度评选已开启 10w+人浏览 1.7k人参与

No Reproduction Without Permission
Made By Hanbin Yi

本文档详细解析了 JWT (JSON Web Token) 的核心概念、工作流程,并提供了基于 Java (Spring MVC) 和 Vue 的前后端整合实现方案。

1. 核心概念

1.1 什么是 JWT?

JWT (JSON Web Token) 是一种开放标准 (RFC 7519),定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。

  • 核心特点
    • 轻量级:体积小,便于通过 URL、POST 参数或 HTTP Header 传输。
    • 自包含:Payload 中包含了所有必要的用户信息,无需在服务端保存会话信息 (Session),实现了无状态认证。
    • 安全性:通过数字签名防止数据被篡改。

1.2 JWT 的结构

JWT 是一个由点 (.) 分割的字符串,包含三个部分:Header.Payload.Signature

示例:
eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MjIsImFjY291bnQiOiIxMjM0NTYiLCJleHAiOjE3NjYyODQ3MTN9._PK4eRROMNDRu8vHfbcO1GjU3T4x3A9iWm-xjNqPagM

1. Header (头部)
  • 本质:描述 JWT 元数据的 JSON 对象。
  • 内容:通常包含令牌的类型 (typ: JWT) 和所使用的加密算法 (alg: HMAC SHA256 或 RSA)。
  • 注意:使用 Base64Url 编码,可逆
2. Payload (载荷)
  • 本质:存放有效信息(Claims)的地方。
  • 内容
    • 标准声明:如 exp (过期时间), sub (主题), iss (签发人)。
    • 私有声明:业务数据,如用户 ID、角色等。
  • ⚠️ 重要警告:Payload 仅经过 Base64Url 编码,是可逆的严禁在 Payload 中存储密码、银行卡号等敏感信息
3. Signature (签名)
  • 本质:防止令牌被篡改的安全验证标识。
  • 生成逻辑:使用 Header 中指定的算法,结合服务端持有的密钥 (Secret),对 Header 和 Payload 进行加密签名。
    HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)
  • 作用:服务端收到 Token 后,用同样的密钥和算法重新计算签名。如果计算结果与 Token 中的签名一致,证明 Token 未被篡改且有效。

2. 鉴权工作流程

JWT 的交互流程主要分为登录、访问和刷新三个阶段。

JWT登录鉴权-20251220

图 1:JWT 登录与鉴权完整流程图

2.1 登录阶段

  1. 客户端:用户输入账号密码,发起登录请求。
  2. 服务端:验证账号密码。
    • 验证失败:返回错误提示。
    • 验证成功:生成包含用户信息的 JWT 字符串。
  3. 服务端:将 JWT 返回给客户端。
  4. 客户端:将 JWT 存储在本地(推荐 Cookie 或 localStorage)。

2.2 接口访问阶段

  1. 客户端:请求受保护资源时,自动或手动在 HTTP 请求头(Header)中携带 JWT(通常在 Authorization 字段)。
  2. 服务端:拦截请求,提取 JWT。
  3. 服务端:校验 JWT 的有效性(签名是否正确、是否过期)。
    • 校验失败:返回 401 未授权。
    • 校验成功:解析 Payload 获取用户信息,放行请求。

2.3 令牌过期处理

  • 当 JWT 过期时,客户端需通过“刷新令牌”机制获取新 Token,避免用户频繁重新登录。

3. 后端实现 (Spring MVC)

3.1 引入依赖

pom.xml 中引入 JWT 工具包。
(注:此处示例使用第三方封装包,生产环境也可直接使用官方 jjwtjava-jwt)

<!-- JWT 工具包 -->
<dependency>  
    <groupId>io.github.qyg2297248353.components</groupId>  
    <artifactId>jsonwebtoken-jjwt</artifactId>  
    <version>2.0.0</version>  
</dependency>

3.2 Token 生成与工具类

创建 JWTUtils 工具类,负责 Token 的生成与解析。

JWT登录鉴权-20251220-1

图 2:JWTUtils 工具类结构示例

登录业务逻辑:
验证通过后,将用户信息存入 Map,调用工具类生成 Token。

JWT登录鉴权-20251220-2

图 3:登录成功后生成 Token 的代码示例

3.3 拦截器鉴权 (TokenInterceptor)

使用 Spring MVC 的拦截器机制统一处理 Token 校验。

拦截器逻辑:

  1. 前置拦截 (preHandle):在请求到达 Controller 之前执行。
  2. 提取 Token:从请求头中获取 Token。
  3. 校验 Token:判断 Token 是否存在、是否过期、签名是否合法。

JWT登录鉴权-20251220-11

图 4:TokenInterceptor 拦截器代码实现

拦截器配置 (spring-mvc.xml):
配置拦截路径及白名单(如登录接口、验证码接口不需要拦截)。

<!-- 拦截器配置 -->
<mvc:interceptors>  
    <mvc:interceptor>  
        <!-- 1. 拦截所有请求 -->
        <mvc:mapping path="/**"/>  
        
        <!-- 2. 配置白名单 (放行不需要登录的接口) -->
        <mvc:exclude-mapping path="/user/login"/>  
        <mvc:exclude-mapping path="/code"/>  
        
        <!-- 3. 注册自定义拦截器 Bean -->
        <bean class="com.cykj.interceptor.TokenInterceptor"></bean>  
    </mvc:interceptor>  
</mvc:interceptors>

JWT登录鉴权-20251220-13

图 5:Spring MVC 拦截器 XML 配置

4. 前端实现 (Vue + Axios)

4.1 存储方案:Cookie

推荐使用 Cookie 存储 Token。

  • 优势
    1. 安全性:支持 HttpOnly(防止 XSS 攻击)。
    2. 自动携带:浏览器发送请求时会自动带上 Cookie。
    3. 过期管理:可设置 Cookie 有效期,浏览器自动清理。

安装依赖:

npm i js-cookie@2.2.1

JWT登录鉴权-20251220-3

4.2 封装 Token 工具类

创建 utils/auth.js,封装对 Cookie 的读写操作。

JWT登录鉴权-20251220-7

图 6:Cookie 操作工具类封装

4.3 登录页面逻辑

调用登录接口成功后,将 Token 存入 Cookie。

JWT登录鉴权-20251220-8

图 7:前端登录成功后的存储逻辑

4.4 Axios 拦截器配置

request.js 中配置请求和响应拦截器,实现 Token 的自动携带和异常处理。

请求拦截器 (Request Interceptor):
每次发送请求前,自动从 Cookie 取出 Token 并放入请求头。

JWT登录鉴权-20251220-9

图 8:Axios 请求拦截器配置

响应拦截器 (Response Interceptor):
统一处理后端返回的错误,如 Token 失效。

JWT登录鉴权-20251220-10

图 9:Axios 响应拦截器配置

4.5 Vuex 状态管理与持久化

登录后,通常会通过 dispatch 触发 Action 获取用户信息并存入 Vuex。

JWT登录鉴权-20251220-18

图 10:Vuex Action 获取用户信息

[!attention] 注意事项
Vuex 存储在内存中,页面刷新会导致数据丢失。

解决方案
在页面加载(如 App.vuemain.js)时,检查 Cookie 中是否有 Token。如果有,则重新触发 Action 获取用户信息,恢复 Vuex 状态。

JWT登录鉴权-20251220-20

图 11:页面刷新时的状态恢复逻辑

5. 测试与总结

5.1 功能测试

  1. 未登录访问:直接访问受保护接口,请求头无 Token。

    • 结果:后端拦截器拦截,返回错误,前端跳转至登录页。
      JWT登录鉴权-20251220-15

    图 12:未携带 Token 访问被拒绝

  2. 登录后访问:登录成功,Cookie 存入 Token,再次访问接口。

    • 结果:请求头自动携带 Token,后端校验通过,返回数据。
      JWT登录鉴权-20251220-16

    图 13:携带有效 Token 访问成功

5.2 后端解析原理

后端通过解析 Token 中的 Payload,直接获取用户 ID 等信息,无需查询数据库即可完成身份验证,极大提高了系统性能。

JWT登录鉴权-20251220-19

图 14:后端解析 Token 获取用户信息

Ahtacca
关注
基于SpringBoot+SpringCloud+Vue前后端分离项目实战 --开篇
天罡gg的专栏
03-07 2万+
如何高效学习Java? 毕业设计项目应该怎么做?入门实战项目应该怎么做? 做Java开发都应该学习哪些框架技术? 我想来跟你聊聊为什么要学习此专栏?我们经常说,看一个事儿千万不要直接陷入细节里,你应该先鸟瞰其貌,这样能够帮助你从高维度理解问题。同样,当你迷茫想努力没有方向时,最事半功倍的方法是:找人带你! 因为过来人,更懂得如何学、如何做、如何少走弯路! 那今天就给大家带来一门专栏课程,由 天罡gg 和 经海路大白狗 两位实力大牛合力打造的一款专栏,可以让你从0到1快速拥有企业级规范的项目实战经验!
Spring Boot + Vue + MyBatis 前后端分离开发实战指南
daylight的博客
05-15 2196
本文详细介绍了如何使用SpringBootVue和MyBatis实现一个前后端分离的用户管理系统。文章首先阐述了前后端分离架构的优势,随后详细说明了技术的选型,包括后端框架、持久层、数据库、前端框架、状态管理、接口调用和跨域处理等。接着,文章分步骤讲解了后端项目的搭建,包括创建SpringBoot项目、配置文件、定义实体类、实现MyBatis映射层、编写服务层、开发RESTful接口和处理跨域问题。在前端部分,文章介绍了Vue项目的创建、代理配置、Axios封装、路由定义和页面组件的开发
【粉丝福利社】快速搞定Spring Boot+Vue开发
热门推荐
时光隧道
10-09 9万+
本书是一本专为追求高效、现代Web开发技术的读者量身打造的实战指南。在当前快速进步的技术环境中,Spring Boot 3和Vue 3的结合,为Web开发提供了更加高效和灵活的解决方案。本书深入剖析了Spring Boot 3的高效特性和Vue 3中革新的组合式API,同时介绍了RESTful API、MyBatis Plus、Axios、Vue Router、Pinia等核心技术,旨在为读者提供一个方位的学习体验。在快节奏的开发环境中,时间就是一切。
Spring Boot + Vue.js 开发:从前后端分离到高效部署,打造你的MVP利器!
idree的博客
07-09 1400
Spring BootVue.js是当前开发的黄金组合。Spring Boot作为Java后端框架,提供高效开发和丰富生态;Vue.js则以其渐进式设计和组件化优势成为前端首选。二者结合可实现快速开发、灵活部署和技术互补。 项目搭建包括:使用Spring Initializr初始化后端项目(添加Web、JPA等依赖),通过Vue CLI创建前端项目。关键配置在于解决跨域问题,通过后端CORS设置和前端代理转发实现前后端通信。
SpringBoot+Vue+MySQL开发实战前后端接口对接数据存储详解
Hello World!你好世界!
06-10 1994
SpringBoot后端开发流程:从项目初始化到API设计,包含实体层、数据访问层、业务逻辑层和控制器层的实现细节Vue前端接口对接实战:Axios封装、API管理、状态管理和组件集成的最佳实践前后端对接核心技术:跨域解决方案、安认证机制和接口版本管理策略MySQL高级应用:表设计规范、索引优化、事务处理和性能调优项目部署运维:Nginx配置、数据库备份和监控方案希望能够帮助大家面掌握前后端分离项目的开发、对接和优化技巧。
Spring Boot+Vue+MySQL开发实战:从环境搭建到落地优化的核心技巧
2503_92211933的博客
12-14 1035
本文详细介绍了基于SpringBoot+Vue+MySQL的开发实践,涵盖环境搭建、用户管理模块实现到生产部署的流程。后端采用SpringBoot分层架构,集成JWT认证和RBAC限控制;前端基于Vue3和ElementPlus构建响应式界面。文章重点讲解了核心CRUD功能实现、跨域配置、数据校验、分页查询等关键技术点,并提供了完整可运行的项目代码。通过环境分离配置和Nginx部署方案,确保项目具备生产级可用性。该技术组合兼顾开发效率和系统性能,适合作为开发学习案例或企业应用基础模板。
AIGC时代:如何快速搞定Spring Boot+Vue开发
程序边界
11-25 1万+
本书是一本致力于最新Web开发技术的实战指南。本书紧跟行业的最新发展趋势,面而深入地阐述了Spring Boot 3和Vue 3在企业级应用开发中的集成应用。书共分为8章,从Spring Boot 3的基础入门到Vue 3的高级应用,再到前后端通信、测试部署,每一章的内容都经过精心设计,以确保读者能够掌握关键的技能。第8章特别提供了一个综合案例,展示如何综合运用书知识来构建一套完整的应用系统。刘 伟资深Web工程师及大数据应用高级工程师,阿里云大数据认证专家(ACP)。
Spring Boot+Vue+MySQL开发实战:从架构设计到落地的核心技巧
He_hehe_heh的博客
12-17 674
本文结合实战经验,分享 Spring Boot+Vue+MySQL 开发核心技巧。内容涵盖架构设计的前后端分层逻辑、核心技术整合的代码实例,以及密码加密、JWT 认证、跨域问题等难点解决方案,还介绍了项目优化技巧 Linux 部署流程。旨在助力开发者避开坑点,提升项目开发效率质量,为开发提供实用参考。
Springboot+JWT+SpringSecurity+Vue+Redis 前后端分离登录(1后端
qq_43649937的博客
11-18 1207
Springboot+JWT+SpringSecurity+Vue+Redis 前后端分离登录(1后端
精选资源
Spring Boot + Vue3 完整开发项目附资料.zip
06-24
综上所述,本项目实战涵盖了Spring BootVue3的集成、开发流程、关键组件使用等知识点,旨在帮助开发者提升开发能力,同时也为实际项目开发提供了实践指导。通过学习和实践,你将能够掌握这两项技术的精髓...
精选资源
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue前后端商城系统源码
05-13
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券、积分、分销、会员、充值、多门店等功能,更...
Spring Boot + Vue 前后端分离博客系统源码.zip
05-26
这是一个基于Spring Boot后端框架和Vue前端框架构建的博客系统源码项目,名为"NBlog"。这个项目展示了如何实现前后端分离的开发模式,以提高开发效率和代码维护性。让我们详细探讨一下其中涉及的关键技术和知识点。 ...
Spring Boot + Vue开发实战随书源码附件
04-21
综上所述,"Spring Boot + Vue开发实战"项目涉及的技术点包括Spring Boot的自动配置、Web开发、数据库操作、安框架,以及Vue.js的组件化开发、状态管理、HTTP请求等。通过这个项目,开发者不仅可以深入理解这...
MyBatis-Plus 面介绍 & Spring Boot 集成实战
技术分析
12-16 621
本文面介绍了MyBatis-Plus(MP)框架的核心功能应用实践。MP作为MyBatis的增强工具,提供了通用CRUD、条件构造器、自动分页等开箱即用功能,可大幅减少重复SQL编写。文章详细讲解了MP的核心组件(如BaseMapper、IService)、SpringBoot集成步骤(包括实体类设计、自动填充处理等),并演示了条件查询、分页等核心功能的使用方法。此外,还介绍了乐观锁、代码生成器、多数据源等高级功能,对比了MP原生MyBatis的差异,最后给出了最佳实践建议。
Spring Boot 中 @Async @Transactional 结合使用解析:避坑指南
席木木的博客
12-19 564
摘要:SpringBoot开发中,@Async和@Transactional注解结合使用时易出现事务失效等问题。本文解析了二者冲突的核心原因:@Async触发线程切换导致事务上下文丢失,并列举了3类典型问题现象。针对不同业务场景,给出了正确实现方案:独立事务场景、事务提交后回调场景等,强调避免内部调用和跨线程共享事务。最后提供了4个关键避坑指南,包括注解生效条件、事务失效场景解决方案及性能优化建议。通过理清线程上下文事务归属关系,可安实现异步事务的协同工作。
Spring Boot 使用FastExcel实现多级表头动态数据填充导出
最新发布
shitou的博客
12-19 179
本文介绍了使用FastExcel库实现动态表头Excel导出的方法。主要包括:1)通过Maven引入FastExcel依赖;2)定义动态表头实体类,使用注解配置表头样式、列宽等属性;3)实现自定义表头处理器(CellWriteHandler),动态替换表头中的占位符变量;4)提供导出工具类,支持按指标类型生成包含年度和月度数据的多Sheet Excel文件。该方法通过注解和处理器机制,实现了灵活的表头定制和动态数据填充功能。
Spring Boot WebFlux 实现流式数据传输断点续传
liuhm的博客
12-19 870
本文介绍了基于Spring Boot WebFlux的流式数据传输方案,支持断点续传功能。通过Redis存储会话状态和数据片段,结合Reactor的Flux异步处理,实现了AI对话助手在页面刷新后仍能继续输出的效果。核心设计包括:1) Redis存储已生成数据片段和接收进度;2) 异步数据生成避免阻塞;3) 合并历史数据和新数据的响应式流;4) 使用AtomicInteger确保线程安。该方案有效解决了传统方案中上下文丢失、资源浪费等问题,提升了用户体验。
深入Spring Boot源码(五):外部化配置Profile机制深度解析
qq_45110186的博客
12-17 761
本文深入解析了SpringBoot强大的外部化配置机制,详细介绍了其17种配置源加载优先级、类型安的属性绑定原理、Profile环境隔离机制和YAML结构化配置支持。文章剖析了配置动态更新的@RefreshScope实现原理,并分享了自定义配置扩展、配置加密等高级技巧。通过源码分析展示了SpringBoot如何实现配置加载、属性绑定和环境感知等核心功能,同时提供了生产环境配置建议和调试技巧。这套统一的配置管理方案有效解决了传统Java应用配置分散、环境差异等痛点,在灵活性和简便性之间取得了完美平衡。
Redis 作为消息队列的三种使用方式 Spring Boot 实践
深耕后端、偏爱架构,用代码与设计构建可靠系统
12-12 1190
Spring 体系中,Redis 的集成方式非常成熟且丰富,无论是基于 List 的简易队列、基于 Pub/Sub 的实时广播消息,还是基于 Stream 的分布式消息队列,都可以通过 Spring Data Redis 顺畅地接入应用系统。其中 Redis Stream 是目前最值得推荐的方案,它具备消息持久化、消费者组、消息确认机制(ACK)、Pending 列表管理、顺序性保证等能力,能够提供接近 Kafka 那样的消息投递可靠性,同时又保持了 Redis 一贯的简单部署和轻量成本。
spring boot +vue开发实战指南
08-15
在进行Spring BootVue.js开发学习时,选择合适的实战教程和学习指南是提升开发能力的关键。以下内容将围绕Spring BootVue.js的整合开发,提供具体的技术要点和学习路径,帮助开发者掌握开发核心技能。 ### 3.1 Spring BootVue.js的整合架构 Spring Boot作为后端框架,提供了RESTful API的快速构建能力,而Vue.js则专注于前端用户界面的响应式开发。两者结合,可以构建出高效的前后端分离应用。在实际项目中,通常采用Spring Boot作为后端服务提供REST API,Vue.js作为前端框架通过HTTP请求后端进行数据交互。这种架构不仅提高了开发效率,还增强了应用的可维护性和可扩展性[^1]。 ### 3.2 后端开发Spring Boot 实战要点 在Spring Boot开发中,重点在于构建RESTful API和集成数据库操作。以下是一个典型的Spring Boot控制器示例,展示了如何实现文章管理的基本CRUD操作: ```java @RestController @RequestMapping("/articles") public class ArticleController { @Autowired private ArticleService articleService; @GetMapping public List<Article> getAllArticles() { return articleService.getAllArticles(); } @GetMapping("/{id}") public Article getArticleById(@PathVariable Long id) { return articleService.getArticleById(id); } @PostMapping public Article saveArticle(@RequestBody Article article) { return articleService.saveArticle(article); } @PutMapping("/{id}") public Article updateArticle(@PathVariable Long id, @RequestBody Article article) { article.setId(id); return articleService.saveArticle(article); } @DeleteMapping("/{id}") public void deleteArticle(@PathVariable Long id) { articleService.deleteArticle(id); } } ``` 此代码片段展示了Spring Boot中如何通过注解实现RESTful API的设计,包括GET、POST、PUT和DELETE方法。同时,通过`@Autowired`注解实现了依赖注入,简化了服务层的调用[^3]。 ### 3.3 前端开发Vue.js 实战要点 在前端开发中,Vue.js提供了组件化的开发模式,使得前端代码结构更加清晰。以下是一个简单的Vue.js组件示例,展示了如何通过Axios库后端API进行交互: ```javascript import axios from 'axios'; export default { data() { return { articles: [] }; }, created() { this.fetchArticles(); }, methods: { fetchArticles() { axios.get('http://localhost:8080/articles') .then(response => { this.articles = response.data; }) .catch(error => { console.error('There was an error fetching the articles!', error); }); } } }; ``` 此代码展示了如何在Vue.js中使用Axios库发起GET请求获取后端数据,并将数据绑定到组件的`articles`属性中。这种方式使得前端开发更加模块化和高效[^1]。 ### 3.4 学习资源推荐 对于初学者来说,推荐参考《Spring Boot+Vue.js企业级管理系统实战》一书,该书详细介绍了使用Spring BootVue.js构建管理系统的部技术细节,包括前端组件、前后端交互、项目常用中间件、Spring Boot核心技术、相关日志、测试和安组件开发等内容。书中代码经过详细注释,非常适合缺乏项目经验的读者进行学习和实践[^2]。 ### 3.5 项目实战建议 在实际项目中,建议从简单的CRUD应用开始,逐步引入Spring Security、JWT认证、数据库事务管理等高级功能。同时,前端部分可以结合Vue Router和Vuex实现更复杂的单页应用(SPA)架构。通过不断迭代和优化,逐步掌握Spring BootVue.js开发能力。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值