Java 使用 JWT(JSON Web Token)实现认证与授权

原创 已于 2025-04-21 20:15:22 修改 · 951 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

于 2025-04-21 20:04:03 首次发布

1. 什么是 JWT?

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用间安全地传输信息。它由三部分组成:

  • Header(头部):包含 token 类型(如 JWT)和签名算法(如 HS256RS256)。

  • Payload(载荷):存放实际数据,如用户 ID、角色、过期时间等。

  • Signature(签名):用于验证 token 的合法性,防止数据篡改。

JWT 通常用于:

  • 用户认证:用户登录后,服务器返回 JWT,客户端后续请求携带该 token 进行身份验证。

  • 信息交换:安全地在不同系统间传递数据。

2. Java 实现 JWT(使用 JJWT 库)

JJWT(Java JWT)是一个流行的 Java 库,用于创建和解析 JWT。下面我们一步步实现 JWT 的生成、验证和解析。

2.1 添加依赖

在 pom.xml 中添加 JJWT 依赖:

Maven
 <!--jwt maven坐标-->
        <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.11.2</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.11.2</version>
            <scope>runtime</scope>
        </dependency>

        <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-jackson -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.11.2</version>
            <scope>runtime</scope>
        </dependency>

2.2 生成 JWT

     *
     * @param secretKey 私钥
     * @param ttlMillis jwt有效时间
     * @param map 携带内容
     * @return jwt
     */
    public static String createJwt(String secretKey, long ttlMillis, Map<String,Object> map){
        // 设置签名算法
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 设置过期时间
        long overTtlMills = System.currentTimeMillis()+ttlMillis;

        // 将过期时间转换为Date类型
        Date date = new Date(overTtlMills);
        // 将密钥转换为SecretKey类型
        SecretKey key = Keys.hmacShaKeyFor(secretKey.getBytes(StandardCharsets.UTF_8));

        // 创建JWT构建器
        JwtBuilder jwtBuilder = Jwts.builder()
                // 设置JWT中的声明
                .setClaims(map)
                // 设置签名密钥
                .signWith(key, signatureAlgorithm)
                // 设置过期时间
                .setExpiration(date);

        // 返回JWT字符串
        return jwtBuilder.compact();

    }

2.3 解析并验证 JWT 

 public static Claims parseJwt(String secretKey, String token){

        return Jwts.parserBuilder()
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                .build()
                .parseClaimsJws(token)
                .getBody();
    }

2.4 编写拦截器

@Component
public class JwtTokenInterceptor implements HandlerInterceptor {


    @Autowired
    private JwtProperties jwtProperties;


    @Override
    public boolean preHandle(@NotNull HttpServletRequest request, @NotNull HttpServletResponse response, @NotNull Object handler) throws Exception {

        System.out.println(handler.getClass()); // 输出可能是 $ProxyXX

        // 判断handler是否为HandlerMethod类型
        if(!(handler instanceof HandlerMethod)){
            return true;
        }

        try {
            // 获取请求头中的jwt
            String jwt = request.getHeader(jwtProperties.tokenName);

            // 解析jwt
            Claims claims = JwtUtil.parseJwt(jwtProperties.secretKey, jwt);

            // 获取用户id
            long id = Long.parseLong(claims.get(UserConstant.USERID).toString());

            // 将用户id存入ThreadLocal中
            ThreadStoreUtil.setThreadLocal(id);

            return true;
        } catch (Exception e) {
            // 设置响应状态码为401
            response.setStatus(401);
            // 抛出自定义异常
            throw new BaseException(ErrorCode.User_NotLogin_Error,"用户未登录");
        }
    }

    @Override
    public void afterCompletion(@NotNull HttpServletRequest request, @NotNull HttpServletResponse response, @NotNull Object handler, Exception ex) throws Exception {
        ThreadStoreUtil.removeThreadLocal();
    }
}

2.5 ThreadStoreUtil工具类的定义

public class ThreadStoreUtil {
    public static ThreadLocal<Long> threadLocal = new ThreadLocal<>();

    // 设置ThreadLocal的值
    public static void setThreadLocal(Long id){
        threadLocal.set(id);
    }

    // 获取ThreadLocal的值
    public static Long getThreadLocal(){
        return threadLocal.get();
    }

    // 移除ThreadLocal的值
    public static void removeThreadLocal(){
        threadLocal.remove();
    }
}

3. JWT 最佳实践

  1. 密钥安全

    • 不要硬编码密钥,推荐从环境变量或配置中心读取。

    • 使用 Keys.secretKeyFor(SignatureAlgorithm.HS256) 自动生成安全密钥。

  2. Token 有效期

    • 设置合理的过期时间(如 24 小时),避免长期有效。

    • 可以使用 Refresh Token 机制延长会话。

  3. HTTPS 传输

    • JWT 应通过 HTTPS 传输,防止中间人攻击。

  4. 存储方式

    • 前端可存于 localStorage 或 HttpOnly Cookie(防 XSS)。

  5. 黑名单机制

    • 如果需要强制失效某些 Token,可结合 Redis 实现黑名单。

4. 总结

JWT 是一种轻量级、安全的身份认证方案,适用于分布式系统和前后端分离架构。通过 JJWT 库,我们可以方便地在 Java 中生成、解析和验证 JWT。在实际项目中,应结合业务需求合理设计 Token 的存储、刷新和安全策略。

GarfieldFine
关注
JWTjson web token认证实现【Playload 存储自定义对象】
专注于计算机研发知识和资讯分享
12-09 1642
会将空转为字符串“null”生成jwt:sign(
Java使用JWT实现Token认证机制
pan_junbiao的博客
10-29 2512
JWTJSON Web Token)是一种用于在网络上安全地传输信息的简洁的、URL 安全的表示方法,它定义了一个紧凑且自包含的方式,用于不同实体之间安全地传输信息(JSON格式)。JWT 通常由三部分组成,分别是 Header(头部)、Payload(有效载荷)和 Signature(签名)。JWT是一种简单、安全、便捷的身份验证和授权机制,在现代Web应用程序中得到广泛应用。然而,在使用JWT时也需要注意其安全性问题,并采取相应的措施来确保JWT的安全性和完整性。
Java实现JWTToken认证机制
efgtrrg的博客
04-17 792
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims//为了方便测试,我们将过期时间设置为1分钟//当前时间//过期时间为1分钟.setSubject(“小白”)System.out.println(“签发时间:”+sdf.format(claims.getIssuedAt()));System.out.println(“过期时间:”+sdf.format(claims.getExpiration()));
JavaJWTJSON Web Token)的运用
2301_80011650的博客
10-04 4993
JWTJSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间以紧凑的方式安全地传递信息。JWT可以被用作身份验证和信息交换的手段,特别适合用于前后端分离的应用程序。
基于JWT生成Token
最新发布
2301_77233334的博客
09-05 245
什么是(JWTJSON Web 令牌结构?
Java如何使用Jwt鉴权
热门推荐
wang386476890的专栏
04-13 1万+
首先是坐标 <dependency> <groupId>commons-lang</groupId> <artifactId>commons-lang</artifactId> <version>2.6</version> </dependency> <dependency> <groupId>com.auth0
使用Java实现JWT身份验证授权
聚娃科技开发者博客
07-05 516
JWTJSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以安全地在各方之间作为JSON对象进行传输。JWT作为一种轻量级的身份验证机制,广泛应用于分布式系统和微服务架构中,能够有效地简化认证流程和提升系统安全性。在Web应用中,可以通过JWT实现无状态的身份验证,服务端验证JWT的签名后可以信任其中的信息,如用户ID、权限等。结合Spring Boot可以更方便地实现JWT的集成,例如通过Spring Security来验证JWT,控制访问权限等。
Java实现JWT登录认证
qq_45480682的博客
11-05 1305
JWTJson Web Token),简单来说就是:web领域中基于json格式的令牌。是最常用的令牌规范。第一部分:Header(头),指定了令牌的签名算法、令牌类型。第二部分:Payload(有效载荷),使用Base64来编码的,不是加密算法,能够解码。因此,该部分不适合存放用户的私密信息(如:密码)。第三部分:Signature(签名),将第一部分和第二部分通过密钥加密得到。解析Token可以根据第三部分解密得到前两部分的信息,再比对前端传来的用户信息,完成校验。
JWT(Json Web Token)Java实现jar
04-18
JSON Web TokenJWT)是一种广泛使用的轻量级身份验证和授权机制,主要应用于Web应用程序和服务之间的安全通信。JWT通过在客户端和服务器之间传递令牌来携带信息,这些信息经过签名,可以确保数据的完整性和不可...
Json Web TokenJWT)介绍基本使用详解及完整源码示例
11-05
Json Web TokenJWT)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序,特别是单页应用(SPA)和微服务架构中。JWT通过在客户端和服务器之间传递JSON编码的信息来实现用户认证,无需在服务器端存储会话...
JWT 使用教程:如何在项目中实现 JSON Web Token
weixin_73426010的博客
03-08 2663
JSON Web Token (JWT) 是一种开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在客户端和服务器之间安全地传递信息。信息可以被验证和信任,因为它是数字签名的。JWT 主要用于认证授权场景,常见于现代 Web 应用、移动应用以及微服务架构中。
什么是JWT及在JAVA中如何使用
一切总会归于平淡
10-24 4753
JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。 也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。 此特性便于可伸缩性, 同时保证应用程序的安全
jwt ---- json web token
weixin_44235759的博客
09-09 1691
之后的请求都会携带cooKie和session。cookie 和 session的缺点。编写token工具类。
JWT(Json Web Token) 详解 java 实战
shadow_zed的博客
09-05 8358
用户认证是计算机安全领域一个永恒的热点话题,然而你会发现,开发者很少讨论有关Json Web Token的话题,其实使用Json Web Token集成到API身份验证机制中是容易,本文给大家普及基础知识。 Json Web Token (简称JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点...
JWTJson Web Token)的使用
weixin_42679286的博客
07-23 1226
1.简洁:JWT Token数据量小,传输速度也很快。2.因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。3.不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务。4.单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。
Java实现JWT认证的完整指南:如何从零开始构建安全认证系统
weixin_46372265的博客
07-09 1550
JWT是一种基于JSON的开放标准,用于在各方之间作为JSON对象安全地传输信息。它特别适合于在无状态环境中(如RESTful API)进行身份验证和信息交换。通过以上步骤,我们成功地在Java实现了基于JWT的身份认证系统。这个系统具有高度的安全性和扩展性,适用于各种需要身份认证的应用场景。希望这篇文章对大家有所帮助,如果你觉得这篇文章对你有所帮助,欢迎关注我的博客。未来,我会继续分享更多关于Java开发的干货。让我们一起在技术的道路上不断探索,勇往直前!
Java JWT实现应用详解
weixin_42593549的博客
10-07 2779
本文还有配套的精品资源,点击获取 简介:JWT是一种安全的、紧凑的、自包含的信息传输标准,适用于Java和Android的身份验证和授权。本文深入解析了JWT的组成部分,包括头部、负载和签名,并通过 jjwt 开源库展示如何在Java中创建、解析和验证JWT。重点介绍了JWTJava和Android中的具体实现,以及开发者应如何利用这些技术构建安全的应用程序...
Java JWT:原理、机制及案例示范
J老熊
10-12 3055
在分布式系统中,安全性用户身份的验证是至关重要的环节。在业务系统种,如何保证用户的身份在多个服务中得到安全验证是一个关键问题。JWTJSON Web Token)是一种广泛使用的身份验证机制,它提供了一种无状态的、分布式的方式来验证用户的身份和权限。 本文将详细讲解JWT的原理和机制,分析为什么需要使用JWT,探讨它在电商交易系统中的具体应用,并提供一些常见问题的解决方案。我们还将展示前端如何使用HTML和JavaScript后端进行JWT身份验证的交互。
Java课堂:什么是JWT?最全讲解
博哥哥的博客
02-06 997
什么是JWT
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值