Spring Boot 实战篇(十二):JWT 令牌的使用

最新推荐文章于 2025-04-03 21:39:53 发布
最新推荐文章于 2025-04-03 21:39:53 发布
阅读量1.5k 收藏 14
点赞数 6
分类专栏: java 文章标签: java mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/144119043
版权

目录

Spring Boot 实战篇(十二):JWT 令牌的使用

一、JWT 概述

二、引入 JWT 依赖

(一)添加 Maven 依赖

三、创建 JWT 工具类

(一)定义JwtUtils类

四、集成 JWT 与 Spring Security

(一)自定义用户认证过滤器

(二)配置 Spring Security 以使用 JWT 过滤器

(三)创建用户登录接口(用于生成 JWT 令牌)

在现代 Web 应用开发中,JSON Web Tokens(JWT)作为一种流行的认证机制,为用户认证和授权提供了安全且便捷的解决方案。本章节将详细介绍在 Spring Boot 项目中使用 JWT 令牌进行用户认证的步骤,包括 JWT 相关依赖的引入、令牌的生成与验证逻辑实现,以及与 Spring Security 的集成等方面,并附上完整的代码示例。

一、JWT 概述

JWT 是一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。它可以在客户端和服务器之间传递用户信息,并且由于其签名机制,信息的完整性和真实性可以得到验证。这使得 JWT 在无状态的分布式系统和前后端分离项目中得到广泛应用。

二、引入 JWT 依赖

(一)添加 Maven 依赖

  1. 在项目的pom.xml文件中添加 JWT 相关依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

这些依赖将使我们能够在项目中使用 JWT 的功能,包括令牌的创建、解析和验证。

三、创建 JWT 工具类

(一)定义JwtUtils

  1. 在项目的com.example.myproject.utils包下(假设项目包名为com.example.myproject)创建一个名为JwtUtils的工具类,用于处理 JWT 令牌的生成和验证操作。
  2. 代码示例:

package com.example.myproject.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

public class JwtUtils {
    // 定义密钥,用于签名和验证令牌,应妥善保管
    private static final String SECRET_KEY = "your-secret-key";
    // 定义令牌过期时间,单位为毫秒,这里设置为1小时
    private static final long EXPIRATION_TIME = 1000 * 60 * 60;

    // 从令牌中获取用户名
    public static String getUsernameFromToken(String token) {
        return getClaimFromToken(token, Claims::getSubject);
    }

    // 获取令牌过期时间
    public static Date getExpirationDateFromToken(String token) {
        return getClaimFromToken(token, Claims::getExpiration);
    }

    // 通用方法,从令牌中获取指定声明
    public static <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = getAllClaimsFromToken(token);
        return claimsResolver.apply(claims);
    }

    // 解析令牌,获取所有声明
    private static Claims getAllClaimsFromToken(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
    }

    // 检查令牌是否过期
    private static boolean isTokenExpired(String token) {
        final Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

    // 生成令牌
    public static String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        return doGenerateToken(claims, userDetails.getUsername());
    }

    // 内部方法,实际生成令牌
    private static String doGenerateToken(Map<String, Object> claims, String subject) {
        return Jwts.builder()
             .setClaims(claims)
             .setSubject(subject)
             .setIssuedAt(new Date())
             .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
             .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
             .compact();
    }

    // 验证令牌是否有效
    public static boolean validateToken(String token, UserDetails userDetails) {
        final String username = getUsernameFromToken(token);
        return (username.equals(userDetails.getUsername()) &&!isTokenExpired(token));
    }
}

这个工具类提供了生成 JWT 令牌、从令牌中获取信息(如用户名)以及验证令牌有效性的方法。

四、集成 JWT 与 Spring Security

(一)自定义用户认证过滤器

  1. 创建JwtAuthenticationFilter
    • com.example.myproject.filter包下(如果不存在则创建)创建一个名为JwtAuthenticationFilter的过滤器类,用于拦截请求并验证 JWT 令牌。
    • 代码示例:

package com.example.myproject.filter;

import com.example.myproject.utils.JwtUtils;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
    private final UserDetailsService userDetailsService;

    public JwtAuthenticationFilter(UserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        final String authorizationHeader = request.getHeader("Authorization");
        if (authorizationHeader!= null && authorizationHeader.startsWith("Bearer ")) {
            String token = authorizationHeader.substring(7);
            String username = JwtUtils.getUsernameFromToken(token);
            if (username!= null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                if (JwtUtils.validateToken(token, userDetails)) {
                    UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
                            userDetails, null, userDetails.getAuthorities());
                    authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                }
            }
        }
        filterChain.doFilter(request, response);
    }
}

这个过滤器会从请求头中获取 JWT 令牌,验证令牌的有效性,并根据令牌中的用户信息设置 Spring Security 的认证上下文。

(二)配置 Spring Security 以使用 JWT 过滤器

  1. 修改SecurityConfig
    • 在之前创建的SecurityConfig类(用于配置 Spring Security)中,添加对JwtAuthenticationFilter的配置。
    • 代码示例:

package com.example.myproject.config;

import com.example.myproject.filter.JwtAuthenticationFilter;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    private final UserDetailsService userDetailsService;
    private final JwtAuthenticationFilter jwtAuthenticationFilter;

    public SecurityConfig(UserDetailsService userDetailsService, JwtAuthenticationFilter jwtAuthenticationFilter) {
        this.userDetailsService = userDetailsService;
        this.jwtAuthenticationFilter = jwtAuthenticationFilter;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
             .authorizeRequests()
             .antMatchers("/api/auth/**").permitAll()
             .anyRequest().authenticated()
             .and()
             .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

在上述配置中,我们允许/api/auth/**路径下的请求无需认证,其他请求需要认证。同时,将JwtAuthenticationFilter添加到 Spring Security 的过滤器链中,在UsernamePasswordAuthenticationFilter之前执行,以便在基于用户名和密码的认证之前先进行 JWT 令牌的验证。

(三)创建用户登录接口(用于生成 JWT 令牌)

  1. UserController中添加登录方法(假设已有UserController用于处理用户相关请求)
    • 代码示例:

package com.example.myproject.controller;

import com.example.myproject.entity.User;
import com.example.myproject.service.UserService;
import com.example.myproject.utils.JwtUtils;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class UserController {
    private final AuthenticationManager authenticationManager;
    private final UserService userService;

    public UserController(AuthenticationManager authenticationManager, UserService userService) {
        this.authenticationManager = authenticationManager;
        this.userService = userService;
    }

    @PostMapping("/api/auth/login")
    public ResponseEntity<?> login(@RequestBody UserLoginRequest userLoginRequest) {
        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(userLoginRequest.getUsername(), userLoginRequest.getPassword()));
        SecurityContextHolder.getContext().setAuthentication(authentication);
        User user = userService.findByUsername(userLoginRequest.getUsername());
        String token = JwtUtils.generateToken(user);
        return new ResponseEntity<>(new JwtResponse(token), HttpStatus.OK);
    }
}

这里,当用户登录成功后,会生成一个 JWT 令牌并返回给客户端。客户端在后续的请求中需要携带这个令牌进行认证。

通过以上步骤,我们成功地在 Spring Boot 项目中引入并使用了 JWT 令牌进行用户认证。在实际应用中,还可以进一步优化,如处理令牌刷新、添加更多的令牌验证规则(如令牌黑名单机制)、优化错误处理等,以提高系统的安全性和用户体验。同时,确保密钥的安全性,避免泄露导致安全问题。

JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt令牌使用
m0_57406300的博客
08-01 184
JWT的全称是Json Web Token。是基于RFC 7519开放标准的,它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以用作验证和相互信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案将登陆的用户信息生成jwt串同时生成jwt存活时间。
JWT的快速应用和入门
weixin_44031266的博客
11-01 534
JWT的快速入门应用,在每个步骤后面添加了效果图作为说明。注意:需要提先安装apache和redis
Spring Boot整合JWT详解
weixin_52578852的博客
04-01 980
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。它由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。.addClaims(claims) // 添加自定义声明.compact();
springboot 使用jwt
larance的挨踢生活
08-01 513
创建生成和解析token的应用类。
JWT 令牌使用
Leon_Jinhai_Sun的博客
12-18 186
JWT 令牌使用
JWT令牌-概述&&基本使用
m0_63834571的博客
04-08 924
jwt的概述和基本使用
JWT令牌-概述&amp;&amp;基本使用
2401_84969363的博客
05-13 705
jwt令牌本质是一串字符串,由三部分组成,类似"xxx.yyy.zzz",前两部分(xxx.yyy)由json对象经过base64编码而来,“zzz”部分属于签名(通过加密算法和密钥生成的),jwt令牌由编码和加密而来,jwt令牌也可以被解析获取json对象中的信息,解析失败一般会导致程序的报错。​ (参考课程笔记:javaweb)JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)​ 在实现系统登录功能的时候,我们需要实现用户完成一次登录之后,在后续的请求中不再需要。
Spring Boot + jwt
weixin_63831348的博客
06-20 3826
Spring Boot + jwt
spring-oauth2-demo:使用Spring Boot 2和Angular使用JWT令牌实现OAuth2
02-18
该项目介绍了如何使用Spring Boot 2和Angular使用JWT令牌实现OAuth2。 MongoDB用作保存数据库数据库。 技术/设计决策 后端:Kotlin与Spring Boot 前端:Angular 8 数据库:MongoDB ORM:Spring数据 安全性:...
spring-boot-jwt使用JWT保护Spring Boot Rest端点的简单演示
01-29
在本文中,我们将深入探讨如何使用JSON Web Token(JWT)来保护Spring Boot构建的RESTful服务。`spring-boot-jwt`项目提供了一个简单的演示,展示了JWTSpring Boot应用程序中的实际应用。JWT是一种轻量级的身份...
SpringBoot-JWT-Token:JWT令牌Spring-Security
03-22
本篇文章将深入探讨如何在Spring Boot应用中结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份验证标准,它允许信息在多个服务之间安全地传输,而无需在服务器上存储会话信息。JWT...
springboot使用jwt
03-06
springboot结合jwt进行restful接口权限认证 https://www.jianshu.com/p/e6421dbaac4a
spring-boot-react-blog:使用spring boot,react和jwt的基于令牌的博客应用程序
01-30
使用Spring Boot,React和Jwt的基于令牌的博客应用程序。 该项目正在开发中。 技术栈 零件 技术 前端 React16+ 后端 Spring Boot 2.1 +,Java 11+ 安全 JWTSpring安全 验证码 本地,Google,Facebook 数据库 H2...
springboot-react-jwt:JSON Web令牌React Spring Boot示例
02-05
JSON Web令牌/ React / Spring Boot示例 这是一个示例项目,其中使用JSON Web令牌保护Spring REST API。 Java和React的可用示例很少,并且有一些陷阱。 因此,我决定进行概念验证,创建一个独立的项目。 一切都在此...
JWT令牌使用
wptalenter的博客
05-21 743
1 JWT的结构 JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz Header 头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)一个例子如下: 下边是Header部分的内容 { "alg":"HS256", "typ":"JWT" } 将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。 Payload 第二部分是负载,内容也是一个json对象,...
Spring Boot使用JWT生成令牌
最新发布
m0_37615107的博客
04-03 395
声明(Claims):存储必要非敏感信息(如用户名、角色),避免泄露敏感数据。- 异常处理**:生成令牌时需处理可能的异常(如密钥无效、参数错误)。通过以上步骤,即可在Spring Boot应用中集成JWT的生成与验证功能。- 密钥安全**:确保密钥足够长(至少32字符)并妥善保管,避免硬编码。- 令牌过期**:设置合理的过期时间以平衡安全性和用户体验。4. 实现JWT生成器。2. 配置JWT参数。
如何在springboot项目中使用JWT
weixin_51496936的博客
06-27 4558
开发初期,我试图用session来保存暂时需要保存或者暂时生成的数据,例如保存用户的账号密码记住用户登录的状态、保存各行政区的预约号球数量、保存用户当天取消预约次数等。但是使用session应用于前后端分离项目存在一定的弊端,例如由于session是存在与服务器的物理内存中,所以在分布式系统中,这种方式将会失效、因为session认证本质基于cookie,由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用。该信息可以被验证和信任,因为它是数字签名的。
active directory域服务
08-13
### 回答1: Active Directory域服务是一种由微软公司开发的网络服务,它提供了一种集中管理和控制网络资源的方式。它可以在一个域中集中管理用户、计算机、应用程序和其他网络资源,从而提高了网络的安全性和可管理性。Active Directory域服务还提供了一些高级功能,如单点登录、组策略管理和域名系统(DNS)集成等,使得网络管理员可以更加轻松地管理和维护网络。 ### 回答2: Active Directory域服务(Active Directory Domain Services,简称AD DS)是微软公司的一项用于管理和组织网络资源的目录服务。它是一种基于LDAP(轻量级目录访问协议)的目录服务,可以让用户和管理员方便地管理和访问网络中的资源。 AD DS的主要功能包括用户身份认证、访问控制、组管理和资源管理等。通过AD DS,管理员可以集中管理和配置用户和计算机的访问权限,确保系统安全。同时,AD DS还提供了域的集中管理功能,管理员可以通过域控制器管理域中的所有对象,并在域中实施策略。 AD DS还支持单点登录功能,用户只需在登录到域之后,即可自动访问到所属域中的资源,而无需再次输入用户名和密码。这大大提高了用户的工作效率。 此外,AD DS还支持多域架构,可以通过建立信任关系实现跨域资源的访问和管理。管理员可以维护多个域之间的信任关系,实现用户和资源的统一管理。 总而言之,AD DS是一种强大的目录服务,可以实现用户和资源的集中管理和访问控制,提高网络系统的稳定性和安全性。它是企业网络管理的重要组成部分,为企业提供了高效的身份认证和资源管理功能,增强了企业的生产力和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值