使用JWT实现Java后端身份认证需生成、传递、解析和验证Token。首先添加jjwt依赖,登录成功后用Jwts.builder()生成含用户信息和过期时间的Token,并通过密钥签名;前端请求时在Authorization头携带Bearer Token;服务端通过JwtFilter拦截请求,解析并验证Token合法性,可结合Spring Boot配置Filter或集成Spring Security进行权限控制。密钥应从配置文件读取,避免硬编码,确保安全。
使用JWT进行Token验证是Java后端开发中常见的身份认证方式。它无需在服务端存储会话信息,适合分布式系统。下面是实现的基本流程和关键步骤。
在项目中引入JWT工具库,比如使用jjwt。如果你用的是Maven,在pom.xml中添加:
<font face="Courier New">
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.5</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
</font>用户登录成功后,服务端生成Token返回给客户端。通常包含用户ID、用户名、过期时间等信息。
示例代码:
立即学习“Java免费学习笔记(深入)”;
<font face="Courier New">
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
public String generateToken(String username) {
return Jwts.builder()
.setSubject(username)
.setIssuedAt(new java.util.Date())
.setExpiration(new java.util.Date(System.currentTimeMillis() + 86400000)) // 24小时
.signWith(SignatureAlgorithm.HS512, "yourSecretKey") // 使用密钥签名
.compact();
}
</font>每次请求到达时,通过拦截器或Filter检查请求头中的Token是否合法。
创建一个JwtFilter类:
<font face="Courier New">
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
public class JwtFilter implements Filter {
private String secret = "yourSecretKey";
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
String authHeader = request.getHeader("Authorization");
if (authHeader == null || !authHeader.startsWith("Bearer ")) {
((HttpServletResponse) res).sendError(HttpServletResponse.SC_UNAUTHORIZED, "Missing or invalid token");
return;
}
String token = authHeader.substring(7); // 去掉"Bearer "
try {
Claims claims = Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
// 可以将用户信息存入request,供后续处理使用
request.setAttribute("username", claims.getSubject());
} catch (Exception e) {
((HttpServletResponse) res).sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid token");
return;
}
chain.doFilter(req, res);
}
}
</font>如果使用Spring Boot,可以通过配置类注册这个过滤器:
<font face="Courier New">
@Configuration
public class JwtConfig {
@Bean
public FilterRegistrationBean<JwtFilter> jwtFilter() {
FilterRegistrationBean<JwtFilter> registrationBean = new FilterRegistrationBean<>();
registrationBean.setFilter(new JwtFilter());
registrationBean.addUrlPatterns("/api/*"); // 拦截需要验证的路径
return registrationBean;
}
}
</font>也可以结合Spring Security,把JWT集成到安全框架中,实现更精细的权限控制。
基本上就这些。关键是生成、传递、解析和验证四个环节。确保密钥安全,设置合理的过期时间,并在前端请求时携带Authorization: Bearer <token>即可。
以上就是java后端开发如何使用JWT进行Token验证?的详细内容,更多请关注php中文网其它相关文章!
java怎么学习?java怎么入门?java在哪学?java怎么学才快?不用担心,这里为大家提供了java速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
249
收藏
