Spring Boot中使用JWT进行安全认证

Spring Boot中使用JWT进行安全认证

1. 引言

在现代的Web应用程序中，安全认证是至关重要的一环。JWT（JSON Web Token）作为一种安全的身份验证解决方案，被广泛应用于Web开发中。本文将介绍如何在Spring Boot中集成JWT实现安全认证，并通过示例展示其基本用法和一些常见的最佳实践。

2. 准备工作

在开始之前，请确保您的Spring Boot项目已经正确配置并运行，并且您已经熟悉基本的Spring Boot开发和安全认证的概念。

3. 添加依赖

首先，在您的Spring Boot项目的pom.xml中添加JWT相关的依赖：

<!-- Maven 依赖 -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

4. 配置JWT

4.1 创建JWT工具类

创建一个工具类来处理JWT的生成、解析和验证：

package cn.juwatech.util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import java.util.Date;

@Component
public class JwtUtil {
   

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private Long expiration;

    public String generateToken(String username) {
   
        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + expiration);

        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(now)
                .setExpiration(expiryDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    public String getUsernameFromToken(String token) {
   
        Claims claims = Jwts.parser()
                .setSigningKey(secret)
                .parseClaimsJws(token)
                .getBody();

        return claims.getSubject();
    }

    public boolean validateToken(String token) {
   
        try {
   
            Jwts.parser().setSigningKey(secret).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
   
            return false;
        }
    }
}

4.2 配置JWT属性

在application.properties或application.yml中配置JWT的密钥和过期时间：

jwt.secret=mySecretKey
jwt.expiration=86400000   # 令牌过期时间，单位毫秒，这里设置为1天

5. 示例应用

现在，我们来创建一个简单的Spring Boot控制器，演示如何使用JWT进行用户认证和授权：

package cn.juwatech.controller;

import cn.juwatech.util.JwtUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

@RestController
@RequestMapping("/api/auth")
public class AuthController {
   

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public String login(@RequestParam String username, @RequestParam String password) {
   
        // 校验用户名密码（略）
        // 如果验证通过，则生成JWT并返回给客户端
        String token = jwtUtil.generateToken(username);
        return token;
    }

    @GetMapping("/user")
    public String getUserInfo(@RequestHeader("Authorization") String token) {
   
        String username = jwtUtil.getUsernameFromToken(token);
        return "当前登录用户：" + username;
    }
}

6. 结论

通过本文的介绍，我们学习了如何在Spring Boot中集成JWT进行安全认证。JWT作为一种轻量级且安全的认证机制，能够有效地保护您的应用程序免受未经授权的访问。