java后端开发如何使用JWT进行Token验证?
使用JWT实现Java后端身份认证需生成、传递、解析和验证Token。首先添加jjwt依赖,登录成功后用Jwts.builder()生成含用户信息和过期时间的Token,并通过密钥签名;前端请求时在Authorization头携带Bearer Token;服务端通过JwtFilter拦截请求,解析并验证Token合法性,可结合Spring Boot配置Filter或集成Spring Security进行权限控制。密钥应从配置文件读取,避免硬编码,确保安全。
使用JWT进行Token验证是Java后端开发中常见的身份认证方式。它无需在服务端存储会话信息,适合分布式系统。下面是实现的基本流程和关键步骤。
1. 添加JWT依赖
在项目中引入JWT工具库,比如使用jjwt。如果你用的是Maven,在pom.xml中添加:
io.jsonwebtoken jjwt-api0.11.5 io.jsonwebtoken jjwt-impl0.11.5 runtime io.jsonwebtoken jjwt-jackson0.11.5 runtime
2. 生成JWT Token
用户登录成功后,服务端生成Token返回给客户端。通常包含用户ID、用户名、过期时间等信息。
示例代码:
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
public String generateToken(String username) {
return Jwts.builder()
.setSubject(username)
.setIssuedAt(new java.util.Date())
.setExpiration(new java.util.Date(System.currentTimeMillis() + 86400000)) // 24小时
.signWith(SignatureAlgorithm.HS512, "yourSecretKey") // 使用密钥签名
.compact();
}
注意:密钥不要硬编码,应从配置文件读取。
3. 验证Token的过滤器
每次请求到达时,通过拦截器或Filter检查请求头中的Token是否合法。
创建一个JwtFilter类:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
public class JwtFilter implements Filter {
private String secret = "yourSecretKey";
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
String authHeader = reques
t.getHeader("Authorization");
if (authHeader == null || !authHeader.startsWith("Bearer ")) {
((HttpServletResponse) res).sendError(HttpServletResponse.SC_UNAUTHORIZED, "Missing or invalid token");
return;
}
String token = authHeader.substring(7); // 去掉"Bearer "
try {
Claims claims = Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
// 可以将用户信息存入request,供后续处理使用
request.setAttribute("username", claims.getSubject());
} catch (Exception e) {
((HttpServletResponse) res).sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid token");
return;
}
chain.doFilter(req, res);
}
}
t.getHeader("Authorization");
if (authHeader == null || !authHeader.startsWith("Bearer ")) {
((HttpServletResponse) res).sendError(HttpServletResponse.SC_UNAUTHORIZED, "Missing or invalid token");
return;
}
String token = authHeader.substring(7); // 去掉"Bearer "
try {
Claims claims = Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
// 可以将用户信息存入request,供后续处理使用
request.setAttribute("username", claims.getSubject());
} catch (Exception e) {
((HttpServletResponse) res).sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid token");
return;
}
chain.doFilter(req, res);
}
}
4. 在Spring Boot中注册Filter
如果使用Spring Boot,可以通过配置类注册这个过滤器:
@Configuration
public class JwtConfig {
@Bean
public FilterRegistrationBean jwtFilter() {
FilterRegistrationBean registrationBean = new FilterRegistrationBean<>();
registrationBean.setFilter(new JwtFilter());
registrationBean.addUrlPatterns("/api/*"); // 拦截需要验证的路径
return registrationBean;
}
}
也可以结合Spring Security,把JWT集成到安全框架中,实现更精细的权限控制。
基本上就这些。关键是生成、传递、解析和验证四个环节。确保密钥安全,设置合理的过期时间,并在前端请求时携带Authorization: Bearer 即可。
