Java实现JWT认证的完整指南:如何从零开始构建安全认证系统

最新推荐文章于 2024-07-13 22:56:10 发布
最新推荐文章于 2024-07-13 22:56:10 发布
阅读量242 收藏 6
点赞数 3
分类专栏: 后端 java 文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46372265/article/details/140287310
版权
java 同时被 2 个专栏收录
16 篇文章 0 订阅
订阅专栏
后端
15 篇文章 0 订阅
订阅专栏

Java实现JWT认证的完整指南:如何从零开始构建安全认证系统

大家好,我是城南。

在这个网络安全日益重要的时代,JWT(JSON Web Token)已经成为实现身份认证的一个重要工具。今天,我们来深入探讨一下如何在Java中实现JWT认证,从零开始构建一个安全、高效的认证系统。

前言

JWT是一种基于JSON的开放标准,用于在各方之间作为JSON对象安全地传输信息。它特别适合于在无状态环境中(如RESTful API)进行身份验证和信息交换。

为什么选择JWT?

在开始之前,让我们了解一下为什么选择JWT而不是传统的会话或令牌认证方法:

  1. 无状态性:JWT是自包含的,可以在没有服务器端会话存储的情况下验证。
  2. 简洁性:JWT结构简单,由Header、Payload和Signature三部分组成。
  3. 可扩展性:JWT可以携带用户角色、权限等信息,方便进行权限控制。

实现JWT认证的步骤

1. 添加依赖

首先,我们需要在项目中添加JWT相关的依赖。以Maven项目为例,可以在pom.xml文件中添加以下依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

2. 配置MySQL数据库

接下来,我们配置MySQL数据库,用于存储用户信息。首先,创建一个数据库:

create database login_system;

然后,在application.properties文件中添加数据库配置:

spring.datasource.url=jdbc:mysql://localhost:3306/login_system
spring.datasource.username=root
spring.datasource.password=root

spring.jpa.hibernate.ddl-auto=update

3. 创建JPA实体类

我们需要创建UserRole两个实体类,并建立多对多的关系。

@Entity
@Table(name = "users")
public class User {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String name;
    @Column(nullable = false, unique = true)
    private String username;
    @Column(nullable = false, unique = true)
    private String email;
    @Column(nullable = false)
    private String password;

    @ManyToMany(fetch = FetchType.EAGER, cascade = CascadeType.ALL)
    @JoinTable(name = "users_roles",
            joinColumns = @JoinColumn(name = "user_id", referencedColumnName = "id"),
            inverseJoinColumns = @JoinColumn(name = "role_id", referencedColumnName = "id"))
    private Set<Role> roles;
}

@Entity
@Table(name = "roles")
public class Role {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String name;
}

4. 创建JPA仓库接口

接下来,我们需要为用户和角色创建JPA仓库接口:

public interface UserRepository extends JpaRepository<User, Long> {
    Optional<User> findByUsername(String username);
}

public interface RoleRepository extends JpaRepository<Role, Long> {
    Optional<Role> findByName(String name);
}

5. JWT实现类

接下来,创建一个JWT实用类JwtTokenProvider,提供生成、验证和解析JWT的方法。

@Component
public class JwtTokenProvider {
    @Value("${app.jwt-secret}")
    private String jwtSecret;

    @Value("${app.jwt-expiration-milliseconds}")
    private long jwtExpirationDate;

    private Key key() {
        return Keys.hmacShaKeyFor(Decoders.BASE64.decode(jwtSecret));
    }

    // 生成JWT令牌
    public String generateToken(Authentication authentication) {
        String username = authentication.getName();
        Date currentDate = new Date();
        Date expireDate = new Date(currentDate.getTime() + jwtExpirationDate);

        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(expireDate)
                .signWith(key())
                .compact();
    }

    // 从JWT令牌中获取用户名
    public String getUsername(String token) {
        Claims claims = Jwts.parserBuilder()
                .setSigningKey(key())
                .build()
                .parseClaimsJws(token)
                .getBody();

        return claims.getSubject();
    }

    // 验证JWT令牌
    public boolean validateToken(String token) {
        try {
            Jwts.parserBuilder()
                    .setSigningKey(key())
                    .build()
                    .parse(token);
            return true;
        } catch (JwtException e) {
            return false;
        }
    }
}

6. 配置Spring Security

为了将JWT集成到Spring Security中,我们需要创建JwtAuthenticationFilterJwtAuthenticationEntryPoint类。

@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, authException.getMessage());
    }
}

public class JwtAuthenticationFilter extends OncePerRequestFilter {
    @Autowired
    private JwtTokenProvider tokenProvider;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = getTokenFromRequest(request);

        if (StringUtils.hasText(token) && tokenProvider.validateToken(token)) {
            String username = tokenProvider.getUsername(token);
            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, null, new ArrayList<>());
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }

        filterChain.doFilter(request, response);
    }

    private String getTokenFromRequest(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }
}

7. 配置安全配置类

最后,我们需要配置Spring Security来使用JWT进行认证。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtAuthenticationEntryPoint unauthorizedHandler;

    @Autowired
    private JwtAuthenticationFilter jwtAuthenticationFilter;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll()
                .anyRequest().authenticated();

        http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setUserDetailsService(userDetailsService());
        provider.setPasswordEncoder(passwordEncoder());
        return provider;
    }
}

总结

通过以上步骤,我们成功地在Java中实现了基于JWT的身份认证系统。这个系统具有高度的安全性和扩展性,适用于各种需要身份认证的应用场景。希望这篇文章对大家有所帮助,如果你觉得这篇文章对你有所帮助,欢迎关注我的博客。未来,我会继续分享更多关于Java开发的干货。让我们一起在技术的道路上不断探索,勇往直前!

城南|阿洋-计算机从小白到大神
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
java jwt 统一认证
11-08
2. 创建JWT:使用`Jwts.builder()`方法开始构建JWT,然后添加头信息(header)、载荷(payload)以及设置签名算法。 3. 签署JWT:调用`signWith()`方法,传入签名算法和密钥,完成JWT的签名。 4. 生成JWT:最后,...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现认证流程中的一种重要方式,它可以帮助我们实现安全认证和授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
php 后端实现JWT认证方法示例
10-18
【PHP后端实现JWT认证详解】 JSON Web Token (JWT) 是一种轻量级的身份...理解JWT的结构和工作原理,可以帮助开发构建安全、高效的Web服务。在实际应用中,还需考虑JWT安全性、过期策略以及刷新机制等细节问题。
jgtx:架构探险从零开始Java Web框架
03-23
"jgtx"项目正是这样一个从零开始构建Java Web框架,旨在帮助开发者更好地理解和掌握Web应用的架构设计。在这个框架中,"common"模块作为基础,为其他模块提供了通用的服务和功能,类似于Spring MVC中的核心组件。 ...
Elsaticsearch java基本操作
qq_62383709的博客
07-13 336
索引 基本操作 package com.orchids.elasticsearch.web.controller; import cn.hutool.core.collection.CollUtil; import cn.hutool.json.JSONUtil; import com.orchids.elasticsearch.web.po.User; import io.swagger.annotations.Api; import io.swagger.annotations.ApiOperatio
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 377
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
关于static定义初始化块和静态变量以及初始化块的执行顺序问题
你我约定有三的博客
07-08 439
第二步:在类加载的时候,按照从上到下执行static修饰的代码,此时执行static Test2 test1 = new Test2(),也就是创建出一个名为test1的对象。第六步:此时除了main方法,所有由static修饰的代码全部执行完毕(static修饰的代码只执行一次),类初始化完成,开始执行main方法,main方法中只有一条语句(中的代码,此时输出aa以及a的值(由于第一步没赋初值,并且给了默认值为0 所以输出0)//首先输出a的值为10 然后输出bb,最后将a的值定义为11。
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 2381
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
java Object 转 Integer
servepeople的博客
07-09 1436
Java 中,可以通过多种方法将一个Object转换为Integer。
elk部署springboot
Chihirozy的博客
07-11 274
elk部署springboot。
AI技术的转变:从辨别式到生成式
学IT,找陈寒
07-09 3328
李彦宏在2024世界人工智能大会上的发言,提醒我们在AI技术发展的道路上,不要盲目追求技术本身或表面的用户数据,而应更多地关注技术的实际应用和产业价值。在大模型技术与个性化应用之间找到平衡,将是未来发展的关键。作为AI从业者和技术爱好者,我们应以务实的态度,探索AI技术在各个领域的实际应用,为产业发展和社会进步贡献力量。通过李彦宏的发言,我深刻认识到AI技术发展的方向和挑战,也更加坚定了自己在这一领域继续探索和创新的信心。未来,愿我们共同努力,推动AI技术更好地服务于社会和产业,为人类创造更美好的未来。
Java 线程池详解
最新发布
qq_41591215的博客
07-13 633
线程池是一组已经初始化并等待执行任务的线程集合。通过使用线程池,我们可以避免频繁地创建和销毁线程,从而节省资源和减少系统开销。线程池的核心思想是通过复用线程来提高性能。
JavaSE 面向对象程序设计进阶 IO流 字节流详解 抛出异常
牛马程序员的博客
07-10 761
存储和读取数据的解决方案内存中数据不能永久化存储 程序停止运行 数据消失File只能对文件本身进行操作 不能读写文件里存储的数据读写数据必须要有IO流可以把程序中的数据保存到文件当中还可以把本地文件中的数据读取到数据当中。
uboot的功能
weixin_43732386的博客
07-13 16
uboot=裸机程序,uboot的核心功能是启动内核。
秋招Java后端开发冲刺——MyBatisPlus总结
qq_50604294的博客
07-13 346
本文对MyBatisPlus进行了介绍,并对其特点、基本使用和扩展功能进行了总结概括。
项目实战--XML文档解析工具
qq_40623672的博客
07-11 883
XML (eXtensible Markup Language)指可扩展标记语言,标准通用标记语言的子集,可以标记数据、定义数据类型,可以允许自定义标记语言进行数据承载,通常被用来传输和存储数据,定义也简单,遵循核心DTD(文档类型定义)语法约束。> < site > < name > CSDN博客网站 </ name > < url > https://blog.csdn.net/ </ url > < desc > 技术学习网站 </ desc > </ site >
android gradle开发基础
点灯师的博客
07-10 1006
Gradle是一个开源的构建自动化系统,专注于灵活性和性能。它支持多种编程语言和平台,包括Android开发。Gradle使用Groovy或Kotlin DSL(领域特定语言)来描述构建逻辑,但底层实现是用Java编写的,确保了系统的稳定性和高效性。Gradle结合了Ant的灵活性和Maven的约定优于配置的理念,为开发者提供了更强大的构建能力。Android Gradle开发基础涵盖了Gradle的基本概念、环境配置、构建脚本的编写、任务与插件的使用等多个方面。
基于JAVA+SpringBoot+Vue+Echarts的充电数据大屏可视化分析
azhou的代码园
07-12 540
随着电动汽车的普及,城市中充电设施的需求日益增长。为了提高充电设施的管理效率和用户体验,本文提出了一个停车场充电桩数据可视化平台的设计与实现。该平台旨在集成、处理并展示来自多个充电桩的实时数据,帮助管理者进行有效监控和决策支持,同时为车主提供便捷、直观的充电信息查询服务。首先,本研究分析了现代停车场充电桩管理的业务需求,确定了平台的主要功能模块,包括管理员登录,数据源excel导入、数据清洗、大屏数据展示、以及不同维度数据分析图表展示等。
SpringSecurity 整合 JWT.docx
06-27
、用户进入登录页,输入用户名、密码,进行登录; 2、服务器验证登录鉴权,如果改用户合法,根据用户的信息和服务器的规则生成 JWT Token 3、服务器将该 token 以 json 形式返回(不一定要json形式,这里说的是一种常见的做法) 4、用户得到 token,存在 localStorage、cookie 或其它数据存储形式中。以后用户请求 /protected 中的 API 时,在请求的 header 中加入 Authorization: Bearer xxxx(token)。此处注意token之前有一个7字符长度的 Bearer。 5、服务器端对此 token 进行检验,如果合法就解析其中内容,根据其拥有的权限和自己的业务逻辑给出对应的响应结果。 6、用户取得结果

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值