什么是JWT?如何使用Spring Boot Security实现它?

简介: 什么是JWT?如何使用Spring Boot Security实现它?

在现代Web应用程序中,安全性和用户体验是至关重要的两个方面。JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在网络应用环境间安全地将信息作为JSON对象传输。JWT因其简单、紧凑且自包含的特性而被广泛应用于用户认证和授权场景。本文将详细介绍JWT的概念,并通过实例展示如何利用Spring Boot Security框架来实现基于JWT的安全机制。

什么是JWT?

基本概念

  • Token:JWT本质上是一个经过签名的字符串,由三部分组成:头部(Header)、载荷(Payload)以及签名(Signature)。这些部分通过点号.连接。
  • 头部:通常包含了令牌类型(即JWT)和所使用的签名算法(如HMAC SHA256或RSA)。
  • 载荷:存放了声明(Claims),这些声明可以是预定义的标准名称,也可以是自定义的数据。
  • 签名:确保消息传输过程中的完整性,防止数据被篡改。

工作原理

当用户登录时,服务器验证其身份后会生成一个JWT并返回给客户端。此后,客户端每次请求都需要携带这个JWT,服务器通过验证签名来确认请求者的身份。这种方式避免了传统的Session机制带来的状态管理问题,特别适合于分布式系统。

如何使用Spring Boot Security实现JWT

接下来,我们将分步骤介绍如何在Spring Boot项目中集成JWT进行用户认证。

添加依赖

首先,在pom.xml文件中添加必要的依赖:

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>
</dependencies>

配置Spring Security

创建一个配置类继承自WebSecurityConfigurerAdapter,并重写相关方法以启用JWT支持:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   

    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        http
            .csrf().disable()
            .authorizeRequests()
                .antMatchers("/auth/**").permitAll() // 允许所有用户访问登录接口
                .anyRequest().authenticated() // 所有其他请求都需要认证
            .and()
            .addFilter(new JwtAuthenticationFilter(authenticationManager()))
            .addFilter(new JwtAuthorizationFilter(authenticationManager()));
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
   
        return new BCryptPasswordEncoder();
    }
}

创建JWT工具类

为了方便生成和解析JWT,我们可以创建一个工具类:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

public class JwtUtil {
   
    private static final String SECRET = "your_secret_key"; // 应该存储在安全的地方

    public static String generateToken(String username, long expirationTime) {
   
        return Jwts.builder()
                .setSubject(username)
                .setExpiration(new Date(System.currentTimeMillis() + expirationTime))
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .compact();
    }

    public static Claims extractClaims(String token) {
   
        return Jwts.parser()
                .setSigningKey(SECRET)
                .parseClaimsJws(token)
                .getBody();
    }
}

编写过滤器

我们需要编写两个过滤器,一个是用于处理登录请求的JwtAuthenticationFilter,另一个是用于后续请求验证的JwtAuthorizationFilter

登录过滤器

public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
   

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
   
        // 从请求中获取用户名和密码
        try {
   
            User user = new ObjectMapper().readValue(request.getInputStream(), User.class);

            return getAuthenticationManager().authenticate(
                    new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword())
            );
        } catch (IOException e) {
   
            throw new RuntimeException(e);
        }
    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
                                            Authentication authResult) throws IOException, ServletException {
   
        String token = JwtUtil.generateToken(((UserDetails) authResult.getPrincipal()).getUsername(), 3600000); // 有效期为1小时
        response.addHeader("Authorization", "Bearer " + token);
    }
}

授权过滤器

public class JwtAuthorizationFilter extends BasicAuthenticationFilter {
   

    public JwtAuthorizationFilter(AuthenticationManager authenticationManager) {
   
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {
   

        String header = request.getHeader("Authorization");

        if (header == null || !header.startsWith("Bearer ")) {
   
            chain.doFilter(request, response);
            return;
        }

        UsernamePasswordAuthenticationToken authentication = getAuthentication(request);
        SecurityContextHolder.getContext().setAuthentication(authentication);
        chain.doFilter(request, response);
    }

    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
   
        String token = request.getHeader("Authorization");
        if (token != null) {
   
            Claims claims = JwtUtil.extractClaims(token.replace("Bearer ", ""));
            if (claims != null) {
   
                String username = claims.getSubject();

                if (username != null) {
   
                    return new UsernamePasswordAuthenticationToken(username, null, new ArrayList<>());
                }
            }
        }
        return null;
    }
}

用户详情服务

最后,我们需要提供一个用户详情服务来加载用户信息:

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
   

    @Autowired
    private UserRepository userRepository; // 假设有一个用户仓库

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
        User user = userRepository.findByUsername(username);
        if (user == null) {
   
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),
                new ArrayList<>());
    }
}

结论

通过上述步骤,我们已经成功地在Spring Boot应用中实现了基于JWT的身份验证机制。这种方法不仅简化了传统的Session管理,还提供了良好的跨域支持。当然,在实际部署前,您还需要考虑更多安全细节,比如密钥的安全存储、更复杂的错误处理等。希望这篇文章能帮助您理解JWT的工作原理及其与Spring Boot Security结合的方法。随着技术的发展和个人经验的增长,不断优化您的安全策略是非常重要的。

相关文章
|
5月前
|
SQL Java 测试技术
在Spring boot中 使用JWT和过滤器实现登录认证
在Spring boot中 使用JWT和过滤器实现登录认证
288 0
|
3月前
|
JSON 安全 算法
|
2月前
|
JSON 安全 算法
Spring Boot 应用如何实现 JWT 认证?
Spring Boot 应用如何实现 JWT 认证?
79 8
|
3月前
|
存储 安全 Java
|
3月前
|
JSON NoSQL Java
springBoot:jwt&redis&文件操作&常见请求错误代码&参数注解 (九)
该文档涵盖JWT(JSON Web Token)的组成、依赖、工具类创建及拦截器配置,并介绍了Redis的依赖配置与文件操作相关功能,包括文件上传、下载、删除及批量删除的方法。同时,文档还列举了常见的HTTP请求错误代码及其含义,并详细解释了@RequestParam与@PathVariable等参数注解的区别与用法。
|
2月前
|
JavaScript NoSQL Java
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
53 0
|
3月前
|
存储 JSON 算法
JWT令牌基础教程 全方位带你剖析JWT令牌,在Springboot中使用JWT技术体系,完成拦截器的实现 Interceptor (后附源码)
文章介绍了JWT令牌的基础教程,包括其应用场景、组成部分、生成和校验方法,并在Springboot中使用JWT技术体系完成拦截器的实现。
150 0
JWT令牌基础教程 全方位带你剖析JWT令牌,在Springboot中使用JWT技术体系,完成拦截器的实现 Interceptor (后附源码)
|
5月前
|
NoSQL 关系型数据库 MySQL
SpringBoot 集成 SpringSecurity + MySQL + JWT 附源码,废话不多直接盘
SpringBoot 集成 SpringSecurity + MySQL + JWT 附源码,废话不多直接盘
183 2
|
缓存 安全 算法
Spring Security OAuth 2.0 资源服务器— JWT
Spring Security OAuth 2.0 资源服务器— JWT
620 1
|
JSON 安全 Java
Spring Security OAuth 实现 GitHub 快捷登录
Spring Security 5中集成了OAuth的客户端模块,该模块包含以下三个子模块
Spring Security OAuth 实现 GitHub 快捷登录