java使用教程如何使用JWT实现身份认证 java使用教程的JWT认证应用方法

答案：使用JWT实现身份认证需引入jjwt库，登录后生成含用户信息的Token并返回，客户端每次请求携带Token，服务器验证其有效性。具体步骤包括：1. 在pom.xml中添加jjwt-api、jjwt-impl、jjwt-jackson依赖；2. 利用Jwts.builder()生成带用户ID、过期时间的Token，并用密钥签名；3. 客户端将Token存入Authorization头，格式为Bearer+空格+Token；4. 服务器通过JWTUtil.validateToken()校验签名和过期时间，解析用户信息；5. 结合Filter在请求中自动验证Token，非法则返回401；6. 密钥应安全存储，避免硬编码；7. 过期时间建议15分钟至2小时，高安全场景配合RefreshToken机制；8. 防盗用可加入IP、User-Agent校验，并支持RefreshToken吊销。

Java中使用JWT（JSON Web Token）实现身份认证，简单来说，就是用一串加密的字符串来证明“你是谁”，而不用每次都去数据库验证用户名密码。这玩意儿就像你进门的通行证，服务器发给你，你带着，每次请求都出示一下，服务器一看，没问题，放行。

解决方案

要用JWT，你需要几个关键步骤：

1. 引入JWT库： 比如

   jjwt

   登录后复制
   ，在你的

   pom.xml

   登录后复制
   （如果你用Maven）里加依赖：

   立即学习“Java免费学习笔记（深入）”；

   <dependency>
       <groupId>io.jsonwebtoken</groupId>
       <artifactId>jjwt-api</artifactId>
       <version>0.11.5</version>
   </dependency>
   <dependency>
       <groupId>io.jsonwebtoken</groupId>
       <artifactId>jjwt-impl</artifactId>
       <version>0.11.5</version>
       <scope>runtime</scope>
   </dependency>
   <dependency>
       <groupId>io.jsonwebtoken</groupId>
       <artifactId>jjwt-jackson</artifactId>
       <version>0.11.5</version>
       <scope>runtime</scope>
   </dependency>

   登录后复制

2. 生成JWT： 当用户登录成功后，服务器生成一个JWT，包含用户的信息（比如用户ID、用户名），然后用密钥签名。

   import io.jsonwebtoken.Jwts;
   import io.jsonwebtoken.SignatureAlgorithm;
   import io.jsonwebtoken.security.Keys;
   
   import java.security.Key;
   import java.util.Date;
   
   public class JWTUtil {
   
       private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256); // 生产环境用更安全的密钥
   
       public static String generateToken(String userId) {
           return Jwts.builder()
                   .setSubject(userId) // 可以放用户ID，或者其他你需要的用户信息
                   .setIssuedAt(new Date())
                   .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间，这里是1小时
                   .signWith(SECRET_KEY)
                   .compact();
       }
   
       public static String getUserIdFromToken(String token) {
           return Jwts.parserBuilder()
                   .setSigningKey(SECRET_KEY)
                   .build()
                   .parseClaimsJws(token)
                   .getBody()
                   .getSubject();
       }
   
       public static boolean validateToken(String token) {
           try {
               Jwts.parserBuilder().setSigningKey(SECRET_KEY).build().parseClaimsJws(token);
               return true;
           } catch (Exception e) {
               // 这里可以根据不同的异常类型进行更细致的处理
               return false;
           }
       }
   
       public static void main(String[] args) {
           String userId = "user123";
           String token = generateToken(userId);
           System.out.println("Generated Token: " + token);
   
           String extractedUserId = getUserIdFromToken(token);
           System.out.println("User ID from Token: " + extractedUserId);
   
           boolean isValid = validateToken(token);
           System.out.println("Is Token Valid: " + isValid);
       }
   }

   登录后复制

3. 返回JWT： 将生成的JWT返回给客户端（通常放在HTTP Header里，比如

   Authorization: Bearer <token>

   登录后复制
   ）。
   

   AppMall应用商店

   AI应用商店，提供即时交付、按需付费的人工智能应用服务

   56

   查看详情

4. 验证JWT： 客户端每次请求时，都带上JWT，服务器收到后，验证JWT的签名是否正确，是否过期。如果验证通过，就认为用户已经认证。

   // 示例：在Spring Security的Filter里验证JWT
   import org.springframework.web.filter.OncePerRequestFilter;
   
   import javax.servlet.FilterChain;
   import javax.servlet.ServletException;
   import javax.servlet.http.HttpServletRequest;
   import javax.servlet.http.HttpServletResponse;
   import java.io.IOException;
   
   public class JWTAuthenticationFilter extends OncePerRequestFilter {
   
       @Override
       protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
           String token = request.getHeader("Authorization");
   
           if (token != null && token.startsWith("Bearer ")) {
               token = token.substring(7); // 去掉 "Bearer " 前缀
               if (JWTUtil.validateToken(token)) {
                   String userId = JWTUtil.getUserIdFromToken(token);
                   // 这里可以根据userId去数据库查用户信息，然后设置到Spring Security的Context里
                   // 例如：
                   // UserDetails userDetails = userDetailsService.loadUserByUsername(userId);
                   // UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                   // authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                   // SecurityContextHolder.getContext().setAuthentication(authentication);
               } else {
                   // Token验证失败，可以返回错误信息
                   response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                   return;
               }
           }
   
           filterChain.doFilter(request, response);
       }
   }

   登录后复制

5. 安全性： 密钥一定要保管好！泄露了就完蛋了。生产环境要用更安全的密钥生成方式，不要硬编码在代码里。

如何选择合适的JWT库？

选择JWT库，主要看这几个方面：安全性、性能、易用性、社区活跃度。

jjwt

Nimbus JOSE + JWT

JWT的过期时间应该设置多久？

过期时间是个权衡。太短了，用户频繁登录，体验不好；太长了，安全性降低，万一Token泄露，风险就大了。一般来说，15分钟到2小时比较常见。对于一些安全性要求高的场景，可以设置短一点，然后配合RefreshToken机制来延长会话。

如何处理JWT被盗用的情况？

JWT被盗用确实是个麻烦事。一个办法是引入RefreshToken机制。RefreshToken的过期时间更长，用来换取新的AccessToken。当AccessToken被盗用后，可以立即废弃RefreshToken，让盗用者无法继续获取新的AccessToken。另外，可以考虑在JWT里加入一些设备信息，比如IP地址、User-Agent，如果发现请求的设备信息和JWT里的不一致，就认为Token可能被盗用。

以上就是java使用教程如何使用JWT实现身份认证 java使用教程的JWT认证应用方法的详细内容，更多请关注php中文网其它相关文章！