java-JWT鉴权

于 2025-02-17 15:54:47 发布
阅读量646 收藏 3
点赞数 15
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HelloKittyTom/article/details/145684851

前言:

JWT,也就是JSON Web Token,通常用于身份验证和授权。用户登录后,服务器生成一个JWT,客户端之后每次请求都带着这个Token,服务器验证Token的有效性来鉴权。

完整示例:

第一步:添加依赖(pom.xml)

<dependencies>
    <!-- Spring Boot Web -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <!-- JJWT 库 -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-api</artifactId>
        <version>0.11.5</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-impl</artifactId>
        <version>0.11.5</version>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-jackson</artifactId>
        <version>0.11.5</version>
        <scope>runtime</scope>
    </dependency>
</dependencies>

第二步:创建 JWT 工具类

import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import org.springframework.stereotype.Component;
import javax.crypto.SecretKey;
import java.util.Date;

@Component
public class JwtUtil {
    // 密钥(示例代码硬编码,实际应存储在安全位置)
    private final SecretKey SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);
    // Token 有效期(30分钟)
    private final long EXPIRATION_TIME = 1800000;

    // 生成 JWT
    public String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SECRET_KEY)
                .compact();
    }

    // 验证并解析 JWT
    public Claims parseToken(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(SECRET_KEY)
                .build()
                .parseClaimsJws(token)
                .getBody();
    }

    // 检查 Token 是否过期
    public boolean isTokenExpired(String token) {
        return parseToken(token).getExpiration().before(new Date());
    }
}

第三步:创建登录接口和受保护接口

import org.springframework.web.bind.annotation.*;

@RestController
public class AuthController {
    private final JwtUtil jwtUtil;

    public AuthController(JwtUtil jwtUtil) {
        this.jwtUtil = jwtUtil;
    }

    // 登录接口(模拟)
    @PostMapping("/login")
    public String login(@RequestParam String username, @RequestParam String password) {
        // 这里应该验证用户名密码(示例直接返回Token)
        return jwtUtil.generateToken(username);
    }

    // 需要鉴权的接口
    @GetMapping("/secure")
    public String secureEndpoint() {
        return "访问受保护资源成功";
    }
}

第四步:创建 JWT 过滤器

import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.*;
import javax.servlet.http.*;
import java.io.IOException;

public class JwtFilter extends OncePerRequestFilter {
    private final JwtUtil jwtUtil;

    public JwtFilter(JwtUtil jwtUtil) {
        this.jwtUtil = jwtUtil;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, 
                                   HttpServletResponse response, 
                                   FilterChain filterChain)
            throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            String token = authHeader.substring(7);
            try {
                Claims claims = jwtUtil.parseToken(token);
                if (jwtUtil.isTokenExpired(token)) {
                    response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Token已过期");
                    return;
                }
                // 可以在此处将用户信息存入请求上下文
                request.setAttribute("username", claims.getSubject());
            } catch (JwtException e) {
                response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "无效Token");
                return;
            }
        } else {
            // 放行登录接口
            if (!request.getServletPath().equals("/login")) {
                response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "缺少Token");
                return;
            }
        }
        filterChain.doFilter(request, response);
    }
}

第五步:配置 Spring Boot 应用

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;

@SpringBootApplication
public class JwtDemoApplication {
    public static void main(String[] args) {
        SpringApplication.run(JwtDemoApplication.class, args);
    }

    @Bean
    public FilterRegistrationBean<JwtFilter> jwtFilter(JwtUtil jwtUtil) {
        FilterRegistrationBean<JwtFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setFilter(new JwtFilter(jwtUtil));
        registrationBean.addUrlPatterns("/secure");
        return registrationBean;
    }
}

使用示例:

  1. 启动应用后,发送登录请求获取Token:

    curl -X POST http://localhost:8080/login?username=admin&password=123

  2. 使用返回的Token访问受保护接口:

    curl -H "Authorization: Bearer <your_token>" http://localhost:8080/secure

注意事项:

  1. 实际生产环境中:

    • 密钥应存储在安全位置(如配置中心)

    • 密码需要加密存储和验证

    • 需要使用HTTPS保证传输安全

    • 需要考虑Token刷新机制

  2. 该示例使用HS256算法,如需更安全可选择RS256算法

  3. 可根据需要添加更多用户信息到Token Claims中

SpringBoot整合JWT实现无状态认证:入门到精通
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-08 1094
JWT在SpringBoot中的实现与应用 摘要:本文介绍了JWT(JSON Web Token)的基本概念、与Session机制的对比,以及SpringBoot项目中JWT的整合实现。JWT由Header、Payload和Signature三部分组成,具有无状态、跨域支持等优势。文章详细展示了如何在SpringBoot项目中配置JWT环境,封装JWT工具类来实现Token的生成、解析和验证功能,包括密钥管理、自定义声明、签名验证等核心操作。通过对比表格和生活化比喻,帮助读者理解JWT与传统Session的
JWT
enterprises的博客
11-29 442
JWT
Java项目中的API指南
最新发布
m0_56896669的博客
01-13 782
对于某些特定需求,可能需要实现自己的逻辑。这通常涉及到创建一个Filter,在其中解析和验证令牌,然后将其关联到当前的。@Component@Override// 解析token的方法...
Java使用JWT生成Token进行接口实现方法
08-25
主要介绍了Java使用JWT生成Token进行接口实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 878
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
jwt
weixin_43606738的博客
08-23 503
jwt 什么是jwt 全名: Json Web Token 是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、...
Shiro + Java-JWT无状态认证机制
07-30
《Shiro + Java-JWT无状态认证机制在SpringBoot环境中的应用》 在现代Web应用程序中,安全性和限管理是至关重要的组成部分。本文将深入探讨如何在SpringBoot项目中结合Apache Shiro和Java JSON Web Tokens ...
前后端交互 -- jwt
优快云_GMC的博客
04-15 1109
jwt 一. jwt 基本概念四个核心点: 1.签发 2.token存取 3.头部携带 4.验证头部二. 签发 生成token2.1. 使用 jsonwebtoken 模块2.2. jwt.sign({ } , " " ,{ } )中的三个参数三. token 的组成、存储与获取3.1. token的组成3.2. 存储token3.3. 获取token四. 请求token头部携带,前端的认...
基于Java实现的简易JWT设计源码
10-02
基于Java实现的简易JWT设计源码是一个开源项目,该项目的主要目的是为小型项目提供一个快速可用的用户方案。在这个项目中,开发者可以找到27个文件,其中大部分文件是用Java语言编写的源代码文件,共21个。...
ShiroJwt:API SpringBoot + Shiro + Java-Jwt + Redis(Jedis)
02-04
ShiroJwt 前端地址: : 疑问查看 项目相关 JavaDoc: : 关联文档: : 教程目录: : 可转换数据库形式(MySQL): : ... Shiro + Java-JWT实现无状态机制(令牌) 密码加密(采用AES-128 + Base6
java http(spring boot 工程)
08-30
java http(spring boot maven工程),全网首个完整例子,经过测试可用。
SpringBoot集成Shiro与Java-Jwt实现RESTful API
ShiroJwt是一个安全认证框架,它将Apache Shiro与Java-JWT(JSON Web Token)结合,并集成Redis用于实现分布式缓存,以提供用户认证和授解决方案。在SpringBoot环境中,可以实现无状态的认证机制,保证API的安全性...
JWT
liu4461431的博客
05-25 5207
JWT知识点总结
Java——
wang__sepcial的博客
05-11 4065
springboot 限认证方案
Java如何使用Jwt
热门推荐
wang386476890的专栏
04-13 1万+
首先是坐标 <dependency> <groupId>commons-lang</groupId> <artifactId>commons-lang</artifactId> <version>2.6</version> </dependency> <dependency> <groupId>com.auth0
java _我爱java系列之---JWT实现微服务(一)】
weixin_36411269的博客
02-12 216
JWT介绍JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。{"typ":"JWT","alg":"HS256"}在头部指明了签名算法...
JWT实现
柠檬树
03-10 8944
一、前言 JWT全称JSON Web Token,是一种基于JSON的,用于在网络上声明某种主张的令牌(Token)。JWT通常由三部分组成:头信息(header)、消息体(payload)、签名(signature)。 头信息(Header)指定了该JWT使用的签名算法: header = '{"alg":"HS256","typ":"...
Spring Boot 之—— JWT
weixin_34208283的博客
09-10 454
第一:什么是JWT 1. JWT即JSON Web Tokens,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),他可以用来安全的传递信息,因为传递的信息是经过加密算法加密过得。 2.JWT常用的加密算法有:HMAC算法或者是RSA的公私秘钥对进行签名,也可以使用公钥/私钥的非对称算法 3.JWT使用场景...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

在下陈平安

你的鼓励是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值