SpringBoot整合JWT

最新推荐文章于 2025-10-31 07:29:24 发布

原创最新推荐文章于 2025-10-31 07:29:24 发布 · 225 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#jwt #spring boot

java 专栏收录该内容

9 篇文章

订阅专栏

本文介绍如何在SpringBoot项目中整合JWT，包括JWT的基本概念、结构解析及具体实践步骤。文章详细展示了创建SpringBoot工程、引入依赖、实现JWT工具类、自定义拦截器等过程。

SpringBoot整合JWT

1、jwt是什么

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.

翻译:

官网 https://jwt.io/introduction/
JSON Web令牌（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，用于在各方之间安全地- 将信息作为JSON对象传输。由于此信息是经过数字签名的，因此可以被验证和信任。可以使用秘密（使用HMAC算法）或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。


## 2、jwt的结构

### 2.1JWT头

JWT头部分是一个描述JWT元数据的JSON对象，通常如下所示。

```java
{
"alg": "HS256",
"typ": "JWT"
}

1、alg属性表示签名使用的算法，默认为HMAC SHA256（写为HS256）

2、typ属性表示令牌的类型，JWT令牌统一写为JWT。

3、最后，使用Base64 URL算法将上述JSON对象转换为字符串保存。

2.2、有效载荷（payload）

可以存放用户的相关信息或者其他数据的声明,使用Base64组成jwt的第二部分

{
"sub": "1234567890",
"name": "chongchong",
"admin": true
}

2.3、签名哈希

签名哈希部分是对上面两部分数据签名，通过指定的算法生成哈希，以确保数据不会被篡改。

首先，需要指定一个密码（secret）。该密码仅仅为保存在服务器中，并且不能向用户公开。然后，使用标头中指定的签名算法（默认情况下为HMAC SHA256）根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),

3、jwt整合SpringBoot

3.1、创建springboot工程引入相关依赖

<!--jwt-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

3.2、创建JWT工具类

public class JWTUtils {

    //签名
    public final static String SIGN="@#$SIGN";

    /**
     *  生成token
     */
    public static String getToken(Map<String,String> map){

        //定义过期时间
        Calendar calendar=Calendar.getInstance();
        calendar.add(Calendar.DATE,7);

        //创建jwt builder
        JWTCreator.Builder builder = JWT.create();

        //payload
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });

        //签名
        String token = builder.withExpiresAt(calendar.getTime())
                .sign(Algorithm.HMAC256(SIGN));
        return token;
    }

    /**
     * 验证token合法性
     */
    public static DecodedJWT verify(String token){
        return JWT.require(Algorithm.HMAC256(SIGN)).build().verify(token);
    }
}

3.3、创建jwt拦截器实现HandlerInterceptor接口

public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //从请求头获取token
        String token = request.getHeader("token");
        Map<String,Object> map=new HashMap<>();
        try {
            JWTUtils.verify(token);
            return true;
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            map.put("msg","无效签名");
        }catch (TokenExpiredException e){
            map.put("msg","token过期");
        }catch (AlgorithmMismatchException e){
            map.put("msg","token算法不一致");
        }catch (Exception e){
            map.put("msg","token无效");
        }
        map.put("status",false);

        //将map转成json传到前端
        ObjectMapper om=new ObjectMapper();
        String json = om.writeValueAsString(map);
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().print(json);
        return false;
    }
}

4、将拦截器加入到spring容器配置

通常user下的所有请求都要放行，这里测试就只放行了login

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/user/test")
                .excludePathPatterns("user/login");
    }
}

5、用户登录成功之后将token放回给前端

@PostMapping("user/login")
public Map<String, Object> login(User user) {
    Map<String, String> payload = new HashMap<>();
    Map<String, Object> map = new HashMap<>();
    try {
        User userDB = userService.login(user);
        payload.put("id", userDB.getId());
        payload.put("name", userDB.getName());
        String token = JWTUtils.getToken(payload);
        map.put("status", true);
        map.put("msg", "登陆成功");
        map.put("token", token);
    } catch (Exception e) {
        map.put("status", false);
        e.printStackTrace();
    }
    return map;
}

6、接收token的数据

通常都是把token隐藏到请求头中，所以这里要从请求头中拿出token

@PostMapping("user/test")
public Map<String, Object> test(HttpServletRequest request) {
    String token = request.getHeader("token");
    DecodedJWT verify = JWTUtils.verify(token);
    Map<String, Object> map = new HashMap<>();
    map.put("msg", "请求成功");
    map.put("status", true);
    map.put("id",verify.getClaim("id").asString());
    map.put("name",verify.getClaim("name").asString());
    return map;
}