【Spring Boot】3.4 JWT 的使用

Spring Boot应用中JWT的实现与验证
最新推荐文章于 2025-07-10 18:06:20 发布
原创 最新推荐文章于 2025-07-10 18:06:20 发布 · 587 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #java #spring

本文介绍了如何在Spring Boot项目中使用JWT进行权限验证。内容包括引入JWT组件,创建JWT工具类,设置拦截器验证Token合法性,并讨论了密码修改后旧Token失效和单点登录的简单实现。拦截器利用自定义工具类验证前端传回的Token,并通过Redis存储敏感信息以确保安全性。

引入组件

<!-- 引入JWT依赖 -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

创建JWT工具类

import com.alibaba.druid.util.StringUtils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.text.SimpleDateFormat;
import java.time.LocalDateTime;
import java.time.format.DateTimeFormatter;
import java.time.temporal.Temporal;
import java.util.Calendar;
import java.util.Date;

/***
 * Author: YL.Lou
 * Class: JWTUtil
 * Project: washes_base_backstage
 * Introduce: JWT的验证工具类 被生成Token的方法Service调用 也会被 拦截器调用 验签
 * DateTime: 2022-06-29 19:23
 ***/
 
@Slf4j
@Component
public class JWTUtil {
    // 为Redis存储准备的Key前缀 后边跟的是用户的 ID  例如:JWT_SIGN_1 查询到的是 MD5 之后的 用户密码 信息
    public static final String SIGN = "JWT_SIGN_";

    // 加盐
    private static final String SECRET = "lou123321!!!";

    @Autowired
    private RedisUtil redisUtil;

    /**
     * 获取token
     * @param u user
     * @return token
     */
    public String getToken(User u) {

        Calendar instance = Calendar.getInstance();

        //默认令牌过期时间30天
        SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

        instance.add(Calendar.DATE, 7);

        JWTCreator.Builder builder = JWT.create();

        builder.withClaim("userId", String.valueOf(u.getuId()))
                .withClaim("userPhone", u.getuPhone())
                .withClaim("userEmail", u.getuEmail())
                .withClaim("userLoginTime", String.valueOf(u.getuLoginTime()))
                .withClaim("userName", u.getuName())
                .withClaim("expTime", simpleDateFormat.format(new Date(instance.getTime().getTime())));

        // 将 用户ID + 用户密码 用MD5 混淆 再加盐 获取的字符串 用来生成签名
        return builder.withExpiresAt(instance.getTime())
                .sign(Algorithm.HMAC256(BaseUtil.getMD5(u.getuId() + u.getuPassword()) + SECRET));
    }

    /**
     * 验证token合法性 成功返回token
     */
    public DecodedJWT verify(String token, Long uId) throws Exception {

        // 从Redis中获取用户ID + 密码 并被MD5 混淆后的字符串
        String strSign = redisUtil.get(SIGN + uId);

        if(null == strSign){
            throw new Exception("Original Token 无效或已过期");
        }

        if(StringUtils.isEmpty(token)){
            throw new Exception("token不能为空");
        }

        JWTVerifier build = JWT.require(Algorithm.HMAC256(strSign + SECRET)).build();

        return build.verify(token);
    }

   /* public static void main(String[] args) {
        DecodedJWT verify = verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MTcxMDg1MDAsInVzZXJuYW1lIjoiYWRtaW4ifQ.geBEtpluViRUg66_P7ZisN3I_d4e32Wms8mFoBYM5f0");
        System.out.println(verify.getClaim("password").asString());
    }*/
}

创建一个拦截器 将验证工具注入拦截器

这里便用到了很多我自己写的工具类和实体类 包括Redis的工具类
在前面的文章中都能找到相应的文件

import com.alibaba.druid.util.StringUtils;
import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.DecodedJWT;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.time.format.DateTimeFormatter;

/***
 * Author: YL.Lou
 * Class: JWTInterceptor
 * Project: washes_base_backstage
 * Introduce: JWT 拦截器
 * DateTime: 2022-06-29 19:34
 ***/
@Slf4j
@Component
public class JWTInterceptor implements HandlerInterceptor {

    @Autowired
    private JWTUtil jwtUtil;

    @Autowired
    private RedisUtil redisUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 从Header中获得Token 和 uid 这两个是要与前端同步的

        String token = request.getHeader("token");
        String uid = request.getHeader("uid");

        if(StringUtils.isEmpty(token)){
            throw new Exception("Header 未装载 token");
        }

        if(StringUtils.isEmpty(uid)){
            throw new Exception("Header 未装载 uid");
        }

        try {

            // 得到签名实体
            DecodedJWT verify = jwtUtil.verify(token, Long.valueOf(uid));

            // 得到签名中的登录时间
            String loginTimeFromToken = verify.getClaim("userLoginTime").asString();

            log.info("token:" + loginTimeFromToken);

            // 从Redis中获取用户的信息
            User user = redisUtil.getObject(RedisPrefix.USER + uid, User.class);

            String loginTimeFromRedis = BaseUtil.localDateTime2String(user.getuLoginTime());

            log.info("redis:" + loginTimeFromRedis);

            if (!loginTimeFromRedis.equals(loginTimeFromToken)){
                throw new Exception("用户Token已更新");
            }

        } catch (SignatureVerificationException e) {

            throw new Exception("无效Token签名");
        } catch (TokenExpiredException e) {

            throw new Exception("token过期");
        } catch (AlgorithmMismatchException e) {

            throw new Exception("token算法不一致");
        } catch (Exception e) {
            throw new Exception("token无效:" + e.getMessage());
        }

        return true;
    }
}

这个拦截器就是调用了工具类中验证Token的部分 对前端用户传回的Token是否合法 以及是否保存了UID等信息进行验证
验证通过就放行
验证失败就抛出异常 由统一错误处理类承接 并最终给前端返回错误信息

配置拦截器 注入到SpringBoot容器

import cn.ihuanxi.base.interceptor.JWTInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 拦截器的配置文件
 */

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Autowired
    private JWTInterceptor jwtInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor)
                //拦截的路径
                .addPathPatterns("/**")
                //排除登录接口
                .excludePathPatterns("/public/**");
    }
}

代码很简单,处理的业务逻辑也很简单,就是一个AOP思想的严重体现

生成Token的部分

前端用户拿到的Token通常是在Service层调用JWTUtil生成

    /**
     * 根据短信验证码完成登录
     * @param uPhone
     * @param smsCode
     * @return
     */
    @DS("slaver")
    @Override
    public Result loginBySmsCode(String uPhone, String smsCode) {

   			// 通过检查Redis中是否存在该手机的值即可实现
         String redisValue = redisUtil.get(RedisPrefix.SMS_CODE + uPhone);

         // 如果不为null 说明刚刚发送过手机短信
         if (null == redisValue || redisValue.equals("")) {
             return result.failed("短信验证码无效", smsCode);
         }

         // 判断输入的短信验证码是否正确
         if (!smsCode.equals(redisValue)) {
             return result.failed("短信验证码错误", smsCode);
         }

         // 验证成功后该验证码就会被移除
         redisUtil.delete(RedisPrefix.SMS_CODE + uPhone);

        // 根据手机号获取用户信息
        QueryWrapper<User> userQueryWrapper = new QueryWrapper<>();
        userQueryWrapper.eq("u_phone",uPhone);
        User user = userMapper.selectOne(userQueryWrapper);

        // 判断用户是否存在
        if (null == user){
            // TODO: 如果开启自动注册 则此处应该进行二次处理 2022-7-2 16:15:12
            return result.failed("用户手机号码未注册");
        }

        // 更新用户的登录时间 和 手机号码认证状态
        user.setuLoginTime(BaseUtil.str2LocalDateTime(null));
        user.setuPhoneChecked(true);

        // 保存用户登录时间和手机认证状态
        userMapper.updateById(user);

        // 将用户ID+密码 MD5后 存到Redis,用作签名的同时方便后期查验 (30天过期)
        redisUtil.add(RedisPrefix.TOKEN_SIGN + user.getuId().toString(), BaseUtil.getMD5(user.getuId()+user.getuPassword()), 30, TimeUnit.DAYS);

        // 生成Token
        String token = jwtUtil.getToken(user);

        user.setToken(token);

        // 检查用户是否设置过密码 并将结果写入
        user.setPassword(null != user.getuPassword() && !user.getuPassword().equals(""));

        // 将用户所有数据存入Redis 方便后续程序随时调用 避免频繁查库
        redisUtil.add(RedisPrefix.USER + user.getuId().toString(), user);

        // 将生成好的Token返回给前端
        return result.success("用户登录成功", user);
    }
关于密码修改后旧Token失效 以及 单点登录的简单实现

上边的代码很复杂,其核心流程大概就是:

  1. 通过查库中的用户密码和登录时间生成一个 签名用的字符串
  2. 将字符串保存到Redis中
  3. 然后用生成的字符串去给Token值签名
  4. 前端将Token回传时,拦截器拿到用户UID
  5. 根据UID查Redis中的签名字符串 其实就是用户密码和登录时间
  6. 验签通过后就能拿到Token中携带的用户登录时间
  7. 用Token中的用户登录时间和Redis保存的用户登录时间对比 不同则验证失败(以此可以实现单点登录)
Spring BootJWT使用介绍
AI天才研究院
09-22 1248
JWT(JSON Web Token)是一个基于 JSON 对象传输的、用于身份认证和信息交换的一种令牌规范。它允许在需要的时候通过共享密钥进行加密签名验证。短期 JWT - 有效期较短,一般几分钟到几小时。普通 JWT - 有效期一般较长,甚至几个月都可能有效。长期 JWT - 在某些情况下,用户可能会使用超过一年的时间。JWT 可以在单点登录(Single Sign On)、API 授权(Authorization)、信息交换等方面提供巨大的便利。
JAVASpring Boot 集成 JWT 实现身份验证
木头
01-10 1379
本文介绍了在Spring Boot中集成JWT实现身份验证的方法。JWT作为一种无状态、跨平台的安全认证方案,包含头部、载荷和签名三部分。文章详细说明了项目设置步骤,包括添加依赖项,并提供了JWT工具类(JwtUtils)的代码示例,用于生成和验证令牌。此外,还讲解了如何创建JwtAuthenticationFilter拦截请求,以及配置Spring Security启用JWT认证。通过这种方式,开发者可以轻松实现分布式系统中的安全身份验证功能。
王炸级更新!Spring Boot 3.4 正式发布,新特性真香!
胸纳甲兵,烽烟起可靖疆晏海。
12-04 2286
Spring Boot 3.4 带来了显著的性能提升、可观察性增强和开发体验改进。但在升级过程中,某些变更需要特别注意,以确保应用程序继续正常运行。本指南将深入介绍最重要的变更,并提供代码示例以帮助您顺利完成过渡。
Spring Security】基于SpringBoot3.3.4版本整合JWT使用教程
Java技术栈,分享不断学习、不断超越、不断积累的历程!
10-02 3111
Spring Boot框架版本在持续迭代中,Spring相关组件也在不断更新,JDK版本的发布频率也更加的频繁。做为一名持续学习的开发者,紧跟技术时代潮流,持续学习新技术,持续更新自己的技能储备,是往前冲锋的必备能力和品质。希望大家跟我一样,保持对技术的渴望,保持学习的激情,一起努力吧。 JWT也是现在前后端分离主流的身份认证载体,在本文中,我们会循序渐进从Spring Boot框架起步,一步步整合JWT使用RSA公钥、私钥对JWT进行签名和验签,一点点揭开Spring Security的神秘面纱。
springboot3整合最新版jjwt(0.12.3
m0_73376570的博客
01-31 7144
基于黑马的苍穹外卖,使用springboot3整合jjwt(0.12.3
Spring Boot 3.4 正式发布,结构化日志!
JavaEdge全是干货的技术号
11-26 2986
通过将注入到@Bean方法中来定义动态属性的功能已被弃用,现在默认会导致失败。替代方法是实现一个单独的@Bean方法,返回一个,此方法应注入属性值来源的容器。这种方式解决了一些容器生命周期问题,并确保属性值来源的容器在属性被使用之前已经启动。如果仍希望注入(需承担可能的生命周期问题),可以将设置为warn或allow。前者会记录警告但允许注入,后者则会完全恢复 Spring Boot 3.3 的行为。在类型匹配时,基于 Bean 的条件现在会忽略非默认候选 Bean。
spring boot3登录开发-整合jwt
蒾酒的博客
02-04 1万+
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用间传输和存储信息的一种安全方式。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT可以被用作身份验证和授权,通过在服务器和客户端之间传递令牌来验证用户的身份并允许访问受保护的资源。由于JWT是基于数字签名的,所以可以确保数据的完整性和安全性。它的设计简单、易于实现,并且可以跨不同的平台和语言使用
Spring Boot+Spring Security+JWT 实现token验证
热门推荐
xue317378914的专栏
06-06 1万+
Spring Boot+Spring Security+JWT 实现token验证什么是JWTJWT的工作流程JWT的主要应用场景JWT的结构SpringBoot+Spring Security和JWT的集成实现token验证引入JWT依赖JWT的生成和解析工具类Spring Security配置登录生成tokentoken的校验演示总结 通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用
Spring Boot 3 集成 Spring Security + JWT
sc35262的博客
12-03 1503
在之前的案例中没有自定义未授权和未登录,直接在页面上显示错误信息,这样对于前端来说不是很好处理,我们将所有接口按照一定的格式返回,会方便前端交互处理。未登录java代码解读复制代码。
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 8421
Springsecurity是Spring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
java-jwt-3.4.1.jar
02-25
java运行依赖jar包
基于Spring Boot 3JWT构建现代化登录认证机制
Yaml4的博客
03-26 1645
Spring Boot 3 整合 JWT(JSON Web Tokens)用于登录开发涉及多个步骤。JWT 是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。
Spring-boot3.4最新版整合swagger和Mybatis-plus
mzjmc123的博客
11-22 2907
spring-boot3 使用mybatis-plus,spring-boot3使用swagger
SpringBoot使用JWT详解
学习记录
04-27 416
JWT的个人理解
Spring Boot 3.4 打造更强大的日志能力:JSON 结构化日志的魅力
java专栏
09-15 1916
通过本文的介绍,相信你已经掌握了如何在 Spring Boot 3.4 中启用 JSON 结构化日志的方法。这不仅有助于提高应用的日志能力,还能为后续的日志分析和系统监控打下坚实的基础。记得在实践中不断探索和完善,让日志真正成为你开发过程中的好帮手!
SpringBoot学习3.4-隔离级别
echo的博客
10-06 1156
目录 1.丢失更新 1.1第一类丢失更新 1.2第二轮丢失更新 2.隔离级别 2.1未提交读 2.2读写提交 2.3可重复读 2.4串行化 3.隔离级别和可能发生的现象 4.隔离级别的配置 4.1@Transactional配置 4.2springboot配置文件配置 1.丢失更新 1.1第一类丢失更新 事务A提交,事务B回滚,B导致A提交的数据被覆盖,数据不正确。大...
Spring Boot 3.4 :@Fallback 注解 - 让微服务容错更简单
weixin_46619605的博客
07-10 1229
Spring Boot 3.4 :@Fallback 注解 - 让微服务容错更简单
springboot3.4整合spring security+jwt token实现权限认证
最新发布
12-04
虽然给定引用中未直接提及Spring Boot 3.4整合Spring Security和JWT Token实现权限认证的教程,但可以基于相关引用的通用思路来构建此教程。 ### 准备工作 - **引入依赖**:在`pom.xml`文件中添加Spring Boot...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值