登录
首页 >  文章 >  java教程

JWT登录认证与鉴权实现教程

时间:2025-12-17 15:06:54 472浏览 收藏

推广推荐
免费电影APP ➜
支持 PC / 移动端,安全直达

对于一个文章开发者来说,牢固扎实的基础是十分重要的,golang学习网就来带大家一点点的掌握基础知识点。今天本篇文章带大家了解《Java实现JWT登录认证与鉴权教程》,主要介绍了,希望对大家的知识积累有所帮助,快点收藏起来吧,否则需要时就找不到了!

Java中使用JJWT库生成和解析JWT,实现无状态认证。1. 添加jjwt-api、jjwt-impl、jjwt-jackson依赖;2. 调用Jwts.builder()设置subject、签发时间、过期时间,使用HS512算法和密钥生成Token;3. 通过Jwts.parser()解析Token,捕获ExpiredJwtException处理过期,获取Claims主体信息;4. 在Spring Boot中结合过滤器校验Authorization头,提取用户名并设置安全上下文,实现自动鉴权与权限控制。

java怎么生成和解析JWT 通过JWT实现用户登录认证与鉴权

Java中生成和解析JWT(JSON Web Token)通常使用开源库如 jjwt,它是目前最流行的JWT实现之一。通过JWT可以实现无状态的用户登录认证与权限控制,适合前后端分离或微服务架构。

1. 添加JJWT依赖

在Maven项目中引入JJWT相关依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

2. 生成JWT令牌

用户登录成功后,服务器生成JWT返回给客户端。以下是一个生成Token的示例:

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtUtil {

    private static final String SECRET_KEY = "your-secret-key-must-be-long-and-secure";
    private static final long EXPIRATION_TIME = 86400000; // 24小时

    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }
}

该方法将用户名作为主体(subject),设置签发时间、过期时间,并使用HS512算法和密钥签名。

3. 解析和验证JWT

每次请求携带Token时,服务端需解析并验证其有效性:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;

public class JwtUtil {

    // ... 上面的generateToken方法

    public static Claims parseToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException e) {
            System.out.println("Token已过期");
        } catch (Exception e) {
            System.out.println("无效Token");
        }
        return null;
    }

    public static String getUsernameFromToken(String token) {
        Claims claims = parseToken(token);
        return claims != null ? claims.getSubject() : null;
    }
}

解析失败可能是Token过期或被篡改,应返回null或抛出异常。

4. 在Spring Boot中集成JWT实现登录认证

实际项目中,通常结合拦截器或过滤器实现自动鉴权:

  • 登录接口:验证用户名密码,成功后调用generateToken返回Token
  • 过滤器:检查请求头中的Authorization字段(如:Bearer xxxxx),提取Token并验证
  • 权限控制:从Token中获取用户名,查询角色信息进行权限判断

示例过滤器片段:

@Override
protected void doFilterInternal(HttpServletRequest request,
                                HttpServletResponse response,
                                FilterChain chain) throws IOException, ServletException {
    String header = request.getHeader("Authorization");
    if (header != null && header.startsWith("Bearer ")) {
        String token = header.substring(7);
        String username = JwtUtil.getUsernameFromToken(token);
        if (username != null) {
            // 设置安全上下文
            UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
                username, null, Collections.emptyList());
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
    }
    chain.doFilter(request, response);
}

基本上就这些。使用JWT可以避免服务端存储Session,提升系统可扩展性,但要注意Token一旦签发无法主动失效,建议设置合理有效期,配合Redis实现登出或强制下线功能。

今天带大家了解了的相关知识,希望对你有所帮助;关于文章的技术知识我们会一点点深入介绍,欢迎大家关注golang学习网公众号,一起学习编程~

java jwt
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>