java后端开发如何使用JWT进行Token验证？

使用JWT实现Java后端身份认证需生成、传递、解析和验证Token。首先添加jjwt依赖，登录成功后用Jwts.builder()生成含用户信息和过期时间的Token，并通过密钥签名；前端请求时在Authorization头携带Bearer Token；服务端通过JwtFilter拦截请求，解析并验证Token合法性，可结合Spring Boot配置Filter或集成Spring Security进行权限控制。密钥应从配置文件读取，避免硬编码，确保安全。

使用JWT进行Token验证是Java后端开发中常见的身份认证方式。它无需在服务端存储会话信息，适合分布式系统。下面是实现的基本流程和关键步骤。

1. 添加JWT依赖

在项目中引入JWT工具库，比如使用jjwt。如果你用的是Maven，在pom.xml中添加：

    io.jsonwebtoken
    jjwt-api
    0.11.5


    io.jsonwebtoken
    jjwt-impl
    0.11.5
    runtime


    io.jsonwebtoken
    jjwt-jackson
    0.11.5
    runtime

2. 生成JWT Token

用户登录成功后，服务端生成Token返回给客户端。通常包含用户ID、用户名、过期时间等信息。

示例代码：

立即学习“Java免费学习笔记（深入）”；

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

public String generateToken(String username) {
    return Jwts.builder()
            .setSubject(username)
            .setIssuedAt(new java.util.Date())
            .setExpiration(new java.util.Date(System.currentTimeMillis() + 86400000)) // 24小时
            .signWith(SignatureAlgorithm.HS512, "yourSecretKey") // 使用密钥签名
            .compact();
}

3. 验证Token的过滤器

每次请求到达时，通过拦截器或Filter检查请求头中的Token是否合法。

Shopxp网上购物系统

Shopxp购物系统历经多年的考验，并在推出shopxp免费购物系统下载之后，收到用户反馈的各种安全、漏洞、BUG、使用问题进行多次修补，已经从成熟迈向经典，再好的系统也会有问题，在完善的系统也从在安全漏洞，该系统完全开源可编辑，当您下载这套商城系统之后，可以结合自身的技术情况，进行开发完善，当然您如果有更好的建议可从官方网站提交给我们。Shopxp网上购物系统完整可用，无任何收费项目。该系统经过

下载

创建一个JwtFilter类：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

public class JwtFilter implements Filter {

    private String secret = "yourSecretKey";

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;
        String authHeader = request.getHeader("Authorization");

        if (authHeader == null || !authHeader.startsWith("Bearer ")) {
            ((HttpServletResponse) res).sendError(HttpServletResponse.SC_UNAUTHORIZED, "Missing or invalid token");
            return;
        }

        String token = authHeader.substring(7); // 去掉"Bearer "
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();

            // 可以将用户信息存入request，供后续处理使用
            request.setAttribute("username", claims.getSubject());
        } catch (Exception e) {
            ((HttpServletResponse) res).sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid token");
            return;
        }

        chain.doFilter(req, res);
    }
}

4. 在Spring Boot中注册Filter

如果使用Spring Boot，可以通过配置类注册这个过滤器：

@Configuration
public class JwtConfig {

    @Bean
    public FilterRegistrationBean jwtFilter() {
        FilterRegistrationBean registrationBean = new FilterRegistrationBean<>();

        registrationBean.setFilter(new JwtFilter());
        registrationBean.addUrlPatterns("/api/*"); // 拦截需要验证的路径
        return registrationBean;
    }
}

也可以结合Spring Security，把JWT集成到安全框架中，实现更精细的权限控制。

基本上就这些。关键是生成、传递、解析和验证四个环节。确保密钥安全，设置合理的过期时间，并在前端请求时携带Authorization: Bearer 即可。