前言
在当今的分布式系统和微服务架构中,单点登录(SSO)是提升用户体验和系统安全性的关键技术。JSON Web Token(JWT)作为一种轻量级的身份验证和授权机制,因其自包含、跨域支持等特性,被广泛应用于单点登录场景。本文将深入探讨 Spring Boot 基于 JWT 实现单点登录的原理、实现方式、优缺点以及需要注意的问题,并提供详细的代码示例。
一、JWT 实现单点登录原理
1.1 JWT 基本结构
JWT 由三部分组成,通过 . 分隔:
- Header(头部):包含令牌的类型(通常为 JWT)和所使用的签名算法,如 HS256。经过 Base64Url 编码后成为 JWT 的第一部分。
- Payload(负载):存放声明(Claims),包含用户身份、权限、过期时间等信息。分为注册声明、公共声明和私有声明。同样经过 Base64Url 编码后成为 JWT 的第二部分。
- Signature(签名):用于验证消息在传递过程中是否被篡改,以及验证 JWT 的发送者身份。使用编码后的 Header、Payload 和一个密钥,结合 Header 中指定的签名算法生成。
1.2 单点登录流程
- 用户登录:用户在认证服务器输入用户名和密码进行登录。
- 生成 JWT:认证服务器验证用户凭据,若验证通过,根据用户信息生成 JWT。
- 返回 JWT:认证服务器将生成的 JWT 返回给客户端。
- 存储 JWT:客户端将 JWT 存储在本地,如
localStorage或cookie。 - 请求资源:客户端在后续请求中,将 JWT 放在请求头的
Authorization字段中,格式为Bearer <token>。 - 验证 JWT:资源服务器接收到请求后,从请求头中提取 JWT,并使用相同的密钥和算法进行验证。若验证通过,解析 JWT 中的 Payload 获取用户信息,处理请求;若验证失败,拒绝请求。
二、Spring Boot 基于 JWT 实现单点登录的方式
2.1 项目搭建
创建一个 Spring Boot 项目,并在 pom.xml 中添加以下依赖:
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.5</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
</dependencies>
2.2 JWT 工具类
创建一个 JwtUtils 类,用于生成和验证 JWT:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import java.util.Date;
import java.util.HashMap;
import 
最低0.47元/天 解锁文章
扫一扫
1232
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
