SpringBoot整合JWT实现验证登陆

最新推荐文章于 2024-07-31 17:41:03 发布
转载 最新推荐文章于 2024-07-31 17:41:03 发布 · 2.1k 阅读 · 7

本文介绍了JWT(Json web token),它是基于JSON的开放标准,适用于单点登录场景。阐述了JWT由头部、荷载、签名三部分构成,还说明了使用方法。此外,详细讲解了JWT在Springboot中的应用,包括引入依赖、配置拦截器、创建工具类等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是JWT?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的, 特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:



 
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiLnlKjmiLciLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlzcyI6IuetvuWPkeiAhSIsImlkIjoic2xtMTIzIiwiZXhwIjoxNTU1MDQ5NzI1LCJ1c2VybmFtZSI6InNsbSJ9.x5ZoTW5NS4wBCIK61v4YCGi8bsveifBwnsMNBQz8s_s

 


 

 
JWT是由什么构成的?

 
JWT共有三部分组成,第一部分称之为头部(header),第二部分称之为荷载(payload),第三部分是签名(signature)。

 


 
header:

 


 

 
{	
  'typ': 'JWT',//声明类型,这里是jwt	
  'alg': 'HS256'	
}

 


 
  • typ:声明了类型
  • alg:声明了加密方式

 
header经过Base64加密后:

 


 

 
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

 


 
Payload:

 
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用

 


 

 
iss (issuer):签发人	
exp (expiration time):过期时间	
sub (subject):主题	
aud (audience):受众	
nbf (Not Before):生效时间	
iat (Issued At):签发时间	
jti (JWT ID):编号

 


 
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。

 


 

 
{	
  "sub": "123456",	
  "name": "admin",	
  "admin": true	
}

 


 
Payload经过Base64加密后:

 


 

 
eyJzdWIiOiLnlKjmiLciLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlzcyI6IuetvuWPkeiAhSIsImlkIjoic2xtMTIzIiwiZXhwIjoxNTU1MDQ5NzI1LCJ1c2VybmFtZSI6InNsbSJ9

 


 
JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

 
Signature是对前两部分进行的签名防止数据被篡改

 
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

 


 

 
HMACSHA256(	
  base64UrlEncode(header) + "." +	
  base64UrlEncode(payload),	
  secret)

 


 
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

 
怎么使用JWT?

 
一般是在请求头里加入Authorization,并加上Bearer标注:

 


 

 
headers: {	
    'Authorization': 'Bearer ' + token	
  }

 


 
JWT如何应用在Springboot中?

 
  首先引入pom依赖

 


 

 
  <dependency>	
      <groupId>com.auth0</groupId>	
      <artifactId>java-jwt</artifactId>	
      <version>3.4.0</version>	
    </dependency>

 


 
 

 
实现WebMvcConfigurer接口配置拦截所有URl

 


 

 
/**	
 * @Author: slm	
 * @CreateTime: 2019-04-11 10:07	
 * @Description: 拦截设置	
 */	
@Configuration	
public class InterceptorConfig implements WebMvcConfigurer {	
    @Override	
    public void addInterceptors(InterceptorRegistry registry) {	
        registry.addInterceptor(authenticationInterceptor())	
                .addPathPatterns("/**");	
    }	
    @Bean	
    public AuthenticationInterceptor authenticationInterceptor() {	
        return new AuthenticationInterceptor();	
    }	
}

 


 
我在项目中使用了全局异常处理和加入了两个自定义注解

 
640?wx_fmt=png

 
  • LoginToken:代表需要对接口进行验证
  • PassToken:代表不需要进行

 
创建AuthenticationInterceptor实现HandlerInterceptor接口对请求进行拦截

 


 

 
public class AuthenticationInterceptor implements HandlerInterceptor {	
    @Autowired	
    private UserService userService;	
	
    @Override	
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {	
        String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token	
        // 如果不是映射到方法直接通过	
        if (!(object instanceof HandlerMethod)) {	
            return true;	
        }	
        HandlerMethod handlerMethod = (HandlerMethod) object;	
        Method method = handlerMethod.getMethod();	
        //检查是否有passtoken注释,有则跳过认证	
        if (method.isAnnotationPresent(PassToken.class)) {	
            PassToken passToken = method.getAnnotation(PassToken.class);	
            if (passToken.required()) {	
                return true;	
            }	
        }	
        //检查有没有需要用户权限的注解	
        if (method.isAnnotationPresent(LoginToken.class)) {	
            LoginToken userLoginToken = method.getAnnotation(LoginToken.class);	
            if (userLoginToken.required()) {	
                // 执行认证	
                if (token == null) {	
                    throw new AppException("9999","无token,请重新登录");	
                }	
                // 获取 token 中的 user id	
                Boolean userId;	
                try {	
                    userId = JWTUtil.verifyToken(token,"123456");	
                } catch (JWTDecodeException j) {	
                    throw new AppException("401","无权操作");	
                }	
                if(userId){	
                    return true;	
                }else {	
                    throw new AppException("401","无权操作");	
                }	
            }	
        }	
        return true;	
    }	
	
    @Override	
    public void postHandle(HttpServletRequest httpServletRequest,	
                           HttpServletResponse httpServletResponse,	
                           Object o, ModelAndView modelAndView) throws Exception {	
	
    }	
	
    @Override	
    public void afterCompletion(HttpServletRequest httpServletRequest,	
                                HttpServletResponse httpServletResponse,	
                                Object o, Exception e) throws Exception {	
    }	
}	


 


 
配置完成以后简单模拟一下用户数据:

 
640?wx_fmt=png

 
创建JWTUtil类对token进行生成和校验

 


 

 
@Slf4j	
public class JWTUtil {	
    private static final String EXP = "exp";	
	
    private static final String PAYLOAD = "payload";	
	
	
    /**	
     * 加密生成token	
     *	
     * @param object 载体信息	
     * @param maxAge 有效时长	
     * @param secret 服务器私钥	
     * @param <T>	
     * @return	
     */	
    public static String createToken(User object, long maxAge, String secret) {	
        try {	
            final Algorithm signer = Algorithm.HMAC256(secret);//生成签名	
            String token = JWT.create()	
                    .withIssuer("签发者")	
                    .withSubject("用户")//主题,科目	
                    .withClaim("username", object.getUsername())	
                    .withClaim("id", object.getId())	
                    .withClaim("password",object.getPassword())	
                    .withExpiresAt(new Date(System.currentTimeMillis() + maxAge))	
                    .sign(signer);	
            System.out.println(token);	
            return Base64.getEncoder().encodeToString(token.getBytes("utf-8"));	
        } catch (Exception e) {	
            log.error("生成token异常:", e);	
            return null;	
        }	
    }	
	
    /**	
     * 解析验证token	
     *	
     * @param token  加密后的token字符串	
     * @param secret 服务器私钥	
     * @return	
     */	
    public static Boolean verifyToken(String token, String secret) {	
        try {	
            Algorithm algorithm = Algorithm.HMAC256(secret);	
            JWTVerifier verifier = JWT.require(algorithm).build();	
            DecodedJWT jwt = verifier.verify(new String(Base64.getDecoder().decode(token),"utf-8"));	
            return true;	
        } catch (IllegalArgumentException e) {	
            throw new AppException("9999",e.getMessage());	
        } catch (JWTVerificationException e) {	
            throw new AppException("9999",e.getMessage());	
        } catch (UnsupportedEncodingException e) {	
            throw new AppException("9999",e.getMessage());	
        }	
    }	
}	


 


 
创建接口调用接口

 
640?wx_fmt=png

 
注意:登录接口加入了PassToken表示不进行校验

 
最后启动项目,调用登录接口

 
640?wx_fmt=png

 
调用getMsg进行验证

 
640?wx_fmt=png

 
登录成功!

 
推荐阅读

 
如何写出无法维护的代码

 
简历写了会Kafka,面试官90%会让你讲讲acks参数对消息持久化的影响

 
Spring Boot整合Elasticsearch

 
Java常用分布式锁技术方案

 
从简历被拒到收割今日头条offer,我花了一年时间

 
640?wx_fmt=jpeg

 
点击在看,和我一起帮助更多开发者!

 

 


                

        

    

    
  



    



                



	

		

			

				
					
SpringBoot整合JWT实战:从零构建无状态认证系统,详解Token生成、验证与安全最佳实践

				
			

			

				

					专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
				

				

					06-08
					
					1235
					
				

			

		

		

			
				
JWTSpringBoot中的实现与应用 摘要:本文介绍了JWT(JSON Web Token)的基本概念、与Session机制的对比,以及SpringBoot项目JWT整合实现JWT由Header、Payload和Signature三部分组成,具有无状态、跨域支持等优势。文章详细展示了如何在SpringBoot项目中配置JWT环境,封装JWT工具类来实现Token的生成、解析和验证功能,包括密钥管理、自定义声明、签名验证等核心操作。通过对比表格和生活化比喻,帮助读者理解JWT与传统Session的

			
		

	



                

            
              



	

		

			

				
					
SpringBoot】45、SpringBoot整合JWT实现Token验证(注解篇)

				
			

			

				

					Asurplus
				

				

					02-28
					
					21万+
					
				

			

		

		

			
				
前言
上篇文章,我们已经在 SpringBoot整合JWT实现了 Token 验证,那我们在实际应用中就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。
如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot整合JWT实现Token验证
自定义注解
1、创建自定义注解
package com.asurplus.common.annotation;

import 

			
		

	



              


  
              

                


	

		

			

				
					
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例

				
			

			

				

					03-09
				

			

		

		

			
				
spring-boo框架,基于JWT、redis鉴权设计,使用restful风格设计开发,前台使用layui、bootstrap等

			
		

	





	

		

			

				
					
Spring Boot整合JWT实现用户认证

				
			

			

				

					
				

				

					05-03
					
					1915
					
				

			

		

		

			
				
Spring Boot整合JWT实现用户认证[toc]
初探JWT
什么是JWT
JWT(Json Web Token),是一种工具,格式为XXXX.XXXX.XXXX的字符串,JWT以一种安全的方式在用户和服务器之间传递存放在JWT中的不敏感信息。
为什么要用JWT
设想这样一个场景,在我们登录一个网站之后,再把网页或者浏览器关闭,下一次打开网页的时候可能显示的还是登录的状态,不需要再次进行登录...

			
		

	



		

			
		



	

		

			

				
					
spring boot使用JWT登录验证

				
			

			

				

					learnC_的博客
				

				

					03-03
					
					947
					
				

			

		

		

			
				
所有的接口请求均需要通过拦截器的拦截,除了配置拦截路径中excludePathPatterns("/api/user/login");在application.yml中添加参数,设置加密方式、年轻token时间和老年token时间。加密:使用Jwt工具类将用户的账号、角色、时间封装起来,根据某种加密算法进行加密。解密:对加密过后的信息使用DecodedJWT中的getClaim方法进行解密。login模块查询数据库中的用户信息,进行加密,发放token。下面的代码是我暂未使用过的token过期,没用上。

			
		

	





	

		

			

				
					
 SpringBoot使用JWT实现登录验证

				
			

			

				

					weixin_33795743的博客
				

				

					01-17
					
					268
					
				

			

		

		

			
				
什么是JWT
JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名。具体的jwt介绍可以查看官网的介绍:https://jw...

			
		

	





	

		

			

				
					
vue+springboot实现JWT登录验证

				
			

			

				

					xc9711的博客
				

				

					04-08
					
					2188
					
				

			

		

		

			
				
vue+springboot实现jwt登录验证,前后端逻辑皆给出

			
		

	





	

		

			

				
					
SpringBoot】44、SpringBoot整合JWT实现Token验证整合篇)

					
热门推荐

				
			

			

				

					Asurplus
				

				

					02-28
					
					21万+
					
				

			

		

		

			
				
什么是JWT?
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
为什么需要JWT?
当我们开发前后端分离项目时,要求我们对用户会话状态要进行一

			
		

	





	

		

			

				
					
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新

				
			

			

				

					05-14
				

			

		

		

			
				
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​	...

			
		

	





	

		

			

				
					
springboot整合jwt实现单点登录

				
			

			

				

					qq_35872777的博客
				

				

					07-06
					
					8097
					
				

			

		

		

			
				
jwt的结构:


			
		

	





	

		

			

				
					
SpringBoot】46、SpringBoot整合JWT实现Token验证(拦截器篇)

				
			

			

				

					Asurplus
				

				

					02-28
					
					21万+
					
				

			

		

		

			
				
前言
上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证
如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot整合JWT实现Token验证整合篇)
如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr

			
		

	





	

		

			

				
					
springbootjwt登录验证

				
			

			

				

					冲锋
				

				

					01-17
					
					250
					
				

			

		

		

			
				
代码量不多, 就直接上代码了


public class TokenUtil {
    /**
     * 过期时间15秒
     */
    protected static final long EXPIRE_TIME = 15 * 1000;
    /**
     * token私钥, 每次调用都使用UUID 重新生成一个私钥
     */
    protected sta...

			
		

	





	

		

			

				
					
深入解析Spring Boot中的JWT令牌校验:安全身份验证与授权实践

				
			

			

				

					良月柒
				

				

					04-30
					
					1776
					
				

			

		

		

			
				
JWT是一种基于JSON的开放标准(RFC 7519),用于在用户和服务器之间安全地传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含令牌的类型(JWT)和使用的加密算法,载荷包含要传输的信息(如用户ID、角色等),签名用于验证令牌的真实性。通过本文的介绍,我们深入了解了Spring Boot中JWT令牌校验的实现方法及其相关的技术细节。JWT令牌是一种安全传输信息的开放标准,通过在用户和服务器之间传递被声明的对象来安全地传输信息。

			
		

	





	

		

			

				
					
JWT令牌技术实现登录校验

				
			

			

				

					fjf_666的博客
				

				

					05-14
					
					1356
					
				

			

		

		

			
				
介绍JWT令牌会话技术实现登录校验

			
		

	





	

		

			

				
					
登录校验解决方案JWT

				
			

			

				

					记录学习,共同进步
				

				

					03-26
					
					1964
					
				

			

		

		

			
				
使用Jwt登录返回token,生成工具包,快速通关JWT

			
		

	





	

		

			

				
					
SpringBoot-登录校验-过滤器-拦截器-JWT

				
			

			

				

					koen的博客
				

				

					03-30
					
					1176
					
				

			

		

		

			
				
会话:用户打开一个浏览器,点击了很多超链接,访问多个web资源,关闭浏览器,这个过程可以称之为会话有状态会话:一个同学来过教室,下次再来教室,我们会知道这个同学曾经来过,称之为有状态会话;

			
		

	





	

		

			

				
					
SpringBootJWT令牌与登录校验

					
最新发布

				
			

			

				

					安晴晚风的博客
				

				

					07-31
					
					1840
					
				

			

		

		

			
				
JWT,即JSON Web Tokens,是一种基于JSON的开放标准(RFC 7519),用于在各方之间安全地传输信息。它经常被用于身份验证和授权的场景中。@Component@Slf4j@Autowired// idea按Ctrl+o重写方法// preHandle目标资源方法运行前运行;// postHandle目标资源方法运行后运行;// afterCompletion视图渲染完毕后执行,最后执行./*** 目标资源方法运行前运行* 返回true:放行。

			
		

	





	

		

			

				
					
springboot+jwt 实现登录验证

				
			

			

				

					大白的博客
				

				

					05-15
					
					1万+
					
				

			

		

		

			
				
jwt 简介 json web token ,简要说明:前端传验证信息到后端,后端验证通过,返回一个对象,只不过这个对象是被加密的,这样后端就可以为无状态的,每次请求的时候,请求头带上token ,里面封装了对象的信息,我们只需要用拦截器进行拦截,解析token,后端就可以知道是谁登录了界面,可以设置相应的超时时间,超时时间不应太长或者太短,根据实际情况而定,超时用户就需要从新登录

优点: 减少...

			
		

	





	

		

			

				
					
SpringBoot整合JWT登录验证实战教程

				
			

			

				

					
				

			

		

		

			
				
"SpringBoot使用JWT实现登录验证的方法示例"  本文将深入探讨如何在SpringBoot应用中利用JWT(JSON Web Token)进行登录验证JWT是一种广泛采用的身份验证和授权机制,它允许安全地在客户端和服务器之间传递信息,...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值