SpringBoot 项目中 JWT 令牌

最新推荐文章于 2025-05-06 16:05:06 发布
最新推荐文章于 2025-05-06 16:05:06 发布
阅读量911 收藏 13
点赞数 11
分类专栏: SpringBoot 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_HPL/article/details/147266047
版权

一、介绍

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输声明。它通常由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),形式为 Header.Payload.Signature。下面为你详细介绍它的相关知识。

二、结构

  • 头部(Header):通常由两部分组成,令牌的类型(即 JWT)和使用的签名算法,如 HMAC SHA256 或 RSA。它会被 Base64Url 编码形成 JWT 的第一部分。
  • 载荷(Payload):包含声明(Claims),声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型:注册声明、公开声明和私有声明。同样,它也会被 Base64Url 编码形成 JWT 的第二部分。
  • 签名(Signature):为了创建签名部分,你需要使用编码后的头部、编码后的载荷、一个秘钥(secret)和头部中指定的签名算法。签名用于验证消息在传输过程中没有被更改,并且在使用私钥签名的情况下,还可以验证 JWT 的发送者的身份。

三、工作流程

  1. 用户登录时,服务器验证用户的身份。
  2. 如果验证成功,服务器会创建一个 JWT 并将其返回给客户端。
  3. 客户端在后续的请求中都会携带这个 JWT,通常是在请求头的 Authorization 字段中。
  4. 服务器接收到请求后,会验证 JWT 的签名和有效性,如果验证通过,则处理请求并返回响应。

四、优点

  • 无状态:JWT 是无状态的,服务器不需要存储会话信息,这使得它非常适合于微服务架构和分布式系统。
  • 跨域支持:由于 JWT 可以在请求头中传输,因此它可以很方便地用于跨域请求。
  • 可扩展性:JWT 的载荷部分可以包含任意的声明,因此可以根据需要扩展其功能。

五、缺点

  • 安全性问题:如果 JWT 的秘钥泄露,攻击者可以伪造 JWT。此外,JWT 一旦发布,在过期之前无法撤销。
  • 体积较大:由于 JWT 包含了头部、载荷和签名,因此它的体积相对较大,会增加请求的大小。

六、使用场景

  • 身份验证:在用户登录后,服务器可以生成一个 JWT 并返回给客户端,客户端在后续的请求中携带这个 JWT,服务器通过验证 JWT 来确认用户的身份。
  • 信息交换:JWT 可以在不同的服务之间安全地传输信息,因为签名可以确保信息的完整性和真实性。

七、实例

下面为你提供一个使用 Spring Boot 3 结合 com.auth0:java-jwt 库实现 JWT 认证的 Web 实例。该实例包含用户注册、登录、生成 JWT 以及使用拦截器验证 JWT 等功能。

pom.xml

<dependencies>
    <!-- Spring Boot Starter Web -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <!-- Java-JWT -->
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>4.4.0</version>
    </dependency>
    <!-- Spring Boot Starter Data JPA -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-data-jpa</artifactId>
    </dependency>
    <!-- H2 Database -->
    <dependency>
        <groupId>com.h2database</groupId>
        <artifactId>h2</artifactId>
        <scope>runtime</scope>
    </dependency>
</dependencies>

JwtUtils.java

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Date;

public class JwtUtils {
    private static final String SECRET = "yourSecretKey";
    private static final long EXPIRATION_TIME = 86400000; // 24 hours

    public static String generateToken(String username) {
        Algorithm algorithm = Algorithm.HMAC256(SECRET);
        return JWT.create()
               .withSubject(username)
               .withExpiresAt(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
               .sign(algorithm);
    }

    public static String validateToken(String token) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            return jwt.getSubject();
        } catch (JWTVerificationException e) {
            return null;
        }
    }
}

WebMvcConfig.java

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Autowired
    private JwtInterceptor jwtInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor)
               .addPathPatterns("/api/**")
               .excludePathPatterns("/api/users/register", "/api/users/login");
    }
}

JwtInterceptor.java

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;

@Component
public class JwtInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String tokenHeader = request.getHeader("Authorization");
        if (tokenHeader != null && tokenHeader.startsWith("Bearer ")) {
            String token = tokenHeader.substring(7);
            String username = JwtUtils.validateToken(token);
            if (username != null) {
                return true;
            }
        }
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        return false;
    }
}

UserController.java

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

@RestController
@RequestMapping("/api/users")
public class UserController {
    @Autowired
    private UserService userService;

    @PostMapping("/register")
    public ResponseEntity<?> register(@RequestBody User user) {
        if (userService.findByUsername(user.getUsername()) != null) {
            return new ResponseEntity<>("Username already exists", HttpStatus.BAD_REQUEST);
        }
        userService.save(user);
        return new ResponseEntity<>("User registered successfully", HttpStatus.CREATED);
    }

    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestBody User user) {
        User existingUser = userService.findByUsername(user.getUsername());
        if (existingUser != null && existingUser.getPassword().equals(user.getPassword())) {
            String token = JwtUtils.generateToken(user.getUsername());
            Map<String, String> response = new HashMap<>();
            response.put("token", token);
            return new ResponseEntity<>(response, HttpStatus.OK);
        }
        return new ResponseEntity<>("Invalid credentials", HttpStatus.UNAUTHORIZED);
    }
}

当然这之前也要有现实的 User 类,UserService 类,UserServiceImpl

代码说明

  1. pom.xml:添加了 Spring Boot Web、java-jwt、Spring Data JPA 和 H2 数据库依赖。
  2. JwtUtils.java:使用 com.auth0:java-jwt 库生成和验证 JWT。
  3. UserController.java:处理用户注册和登录请求,登录成功后返回 JWT。
  4. JwtInterceptor.java:实现 HandlerInterceptor 接口,在请求处理前验证 JWT。
  5. WebMvcConfig.java:将 JwtInterceptor 注册到 Spring MVC 的拦截器链中,对 /api/** 路径进行拦截,排除注册和登录接口。

运行步骤

  1. 创建一个 Spring Boot 3 项目,并将上述代码添加到相应的文件中。
  2. 启动 Spring Boot 应用程序。
  3. 发送注册请求到 /api/users/register 接口,注册新用户。
  4. 发送登录请求到 /api/users/login 接口,获取 JWT。
  5. 在后续请求的 Authorization 头中添加 Bearer <JWT> 进行身份验证。

希望对你有帮助!

SpringBoot 中使用 JWT 案例分享详解
不迁怒,不贰过。小知识,大智慧。
06-14 5713
SpringBoot 中使用 JWT 案例分享详解
springboot集成jwt的登陆验证(token令牌)
qq_40224631的博客
07-03 1438
搭建一个属于自己的springboot单机环境脚手架前言JWT的配置与使用JWT(Json Wen Token):基于token的认证方式。JWT所需要的pom引入JWT配置JWT的使用JWT最后要说的话 前言 该脚手架基于人人开源项目renren-security改造,包含相关框架的集成过程以及配置的相关解读。 JWT的配置与使用 JWT(Json Wen Token):基于token的认证方式。 基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。
SpringBootJWT令牌
qq_62254095的博客
04-19 1953
定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
Springboot--整合jwt实现token令牌认证
weixin_43606226的博客
01-07 458
JWT请求的流程: 1.用户输入账号密码登录,前端传输给后端认证 2.认证成功后,后端jwt创建一个token令牌 3.后端传给前端token令牌,前端把这个令牌保存下来 4.前端每次访问后端资源的时候都要带上之前保存的token令牌后端认证 5.验证成功后返回资源给前端 JWT组成 JWT有3部分组成: Header(头部):两部分组成,令牌的元数据,签名和/或加密算法的类型 Payloa...
深入解析Spring Boot中的JWT令牌校验:安全身份验证与授权实践
良月柒
04-30 1715
JWT是一种基于JSON的开放标准(RFC 7519),用于在用户和服务器之间安全地传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含令牌的类型(JWT)和使用的加密算法,载荷包含要传输的信息(如用户ID、角色等),签名用于验证令牌的真实性。通过本文的介绍,我们深入了解了Spring BootJWT令牌校验的实现方法及其相关的技术细节。JWT令牌是一种安全传输信息的开放标准,通过在用户和服务器之间传递被声明的对象来安全地传输信息。
Spring Boot 实战篇(十二):JWT 令牌的使用
m0_57836225的博客
11-28 1647
JWT 是一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。它可以在客户端和服务器之间传递用户信息,并且由于其签名机制,信息的完整性和真实性可以得到验证。这使得 JWT 在无状态的分布式系统和前后端分离项目中得到广泛应用。JwtUtils创建类在包下(如果不存在则创建)创建一个名为的过滤器类,用于拦截请求并验证 JWT 令牌。代码示例:@Component@Override。
SpringBoot | 使用jwt令牌实现登录认证,使用Md5加密实现注册
jingling555的博客
06-27 696
对于登录认证中的令牌,其实就是一段字符串,那为什么要那么麻烦去用jwt令牌?其实对于登录这个业务,在平常我们实现这个功能时,可能大部分都是通过比对用户名和密码,只要正确,就登录成功;而并不会考虑到使用jwt令牌
springboot实战学习(7)(JWT令牌的组成、JWT令牌的使用与验证)
岁岁岁平安的博客
09-22 1952
本篇博客主要是学习和介绍了JWT令牌的组成、JWT令牌的生成、JWT令牌的验证。其中重点分析了JWT令牌组成中"头部"、"载荷"、"数字签名"、"密钥"。也分析到如何借助工具"java-jwt"去生成合法的JWT令牌。如何再通过测试方法去验证令牌的合法性...
springboot中通过jwt令牌校验以及前端token请求头进行登录拦截实战
java15655057970的博客
12-13 2627
大家从b站大学学习的项目侧重点好像都在基础功能的实现上,反而一个项目最根本的登录拦截请求接口都不会写,怎么拦截?为什么拦截?只知道用户登录时我后端会返回一个token,这个token是怎么生成的,我把它返回给前端干什么用?前端怎么去处理这个token?这个是我在学习过程中一知半解的,等开始做自己的项目时才知道原来还有这么多不会,本文就来讲解一下怎么去实现登录拦截请求校验的方法。@Slf4j@Autowired/*** 注册自定义拦截器*/log.info("开始注册自定义拦截器...");
springboot整和jwt、shiro、redis实现token自动刷新
08-19
对于Redis的使用,我们需要配置一个TokenStore,将JWT令牌保存到Redis中,并设置相应的过期策略。当JWT即将过期时,可以监听Redis的事件,触发Token的刷新。同时,为了实现自动刷新,客户端也需要配合,当收到新的...
session与token
Uzizi的博客
07-30 511
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
SpringBootJWT详解,底层原理及生成验证实例。
最新发布
equila的博客
05-06 998
JWT (JSON Web Token) 是一种开放标准 (RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。它通常用于身份验证和信息交换。
JWT令牌详细解读
。。。。
07-05 3371
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
JWT令牌
Herman _java开发
02-27 1622
全称:JSON Web Token1、JWT令牌由三部分组成,这三部分通过.连接在一起:头部(Header):包含了令牌类型(typ),通常是 "JWT"。加密算法(alg),例如 "HS256"、"RS256" 等,表明了用于生成签名的算法。2、载荷(Payload):载荷包含了实际要传递的信息或声明(claims)。声明可以是预定义的标准声明(如iss-发行人、exp-过期时间、sub-主题、aud-受众等),也可以是自定义声明。
JWT令牌结构
Leon_Jinhai_Sun的博客
12-21 1096
JWT令牌由Header、Payload、Signature三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz Header 头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC、SHA256或RSA)。 一个例子: { "alg": "HS256", "typ": "JWT" } 将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。 Payload 第二部分是负载,内容也是一个json对象,它是存放有效信息的地
JWT令牌详解
m0_73865822的博客
08-26 594
--- title: JWT令牌详解 date: 2023-08-26 15:21:01 tags: - 后端 categories: - JAVA ---
JWT令牌——详解(保姆式解析代码教学)
cnjdd的博客
03-24 2725
等号它是一个补位的符号。指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。运行测试方法,输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。指的是它能够以较小的体积包含所有的信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
springboot记住密码jwt令牌
08-18
对于Spring Boot应用程序记住密码和使用JWT令牌进行身份验证的场景,你可以按照以下步骤进行操作: 1. 添加依赖:在`pom.xml`文件中添加Spring Security和JWT的依赖项。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建Spring Security配置类:创建一个类来扩展`WebSecurityConfigurerAdapter`,并覆盖`configure`方法。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated(); } @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()) .passwordEncoder(passwordEncoder()); } @Bean @Override public UserDetailsService userDetailsService() { // 实现自定义的UserDetailsService接口来获取用户信息并进行身份验证 return new CustomUserDetailsService(); } @Bean public PasswordEncoder passwordEncoder() { // 使用BCryptPasswordEncoder来对密码进行加密和验证 return new BCryptPasswordEncoder(); } } ``` 3. 创建用户实体类:创建一个用户实体类,用于保存用户信息。 ```java @Entity @Table(name = "users") public class User implements UserDetails { // 实现UserDetails接口的方法 // 用户名、密码等其他属性 // getter和setter方法 } ``` 4. 创建自定义UserDetailsService:实现Spring Security的`UserDetailsService`接口,用于获取用户信息。 ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return user; } } ``` 5. 创建JWT工具类:创建一个JWT工具类,用于生成和解析JWT令牌。 ```java @Component public class JwtTokenProvider { private static final String SECRET_KEY = "yourSecretKey"; private static final long EXPIRATION_TIME = 86400000; // 24小时 public String generateToken(Authentication authentication) { User user = (User) authentication.getPrincipal(); Date now = new Date(); Date expiryDate = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(user.getUsername()) .setIssuedAt(new Date()) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (SignatureException ex) { System.out.println("Invalid JWT signature"); } catch (MalformedJwtException ex) { System.out.println("Invalid JWT token"); } catch (ExpiredJwtException ex) { System.out.println("Expired JWT token"); } catch (UnsupportedJwtException ex) { System.out.println("Unsupported JWT token"); } catch (IllegalArgumentException ex) {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值