十一、Spring Boot:使用JWT實現用戶認證深度解析

Spring Boot JWT(JSON Web Token):無狀態認證

在現代 Web 開發中,無狀態認證是一種重要的安全機制,它允許服務器在不存儲會話信息的情況下驗證用戶身份。JSON Web Token(JWT)是一種常用的無狀態認證技術,它通過一個緊湊的 URL 安全令牌來傳遞用戶身份信息。Spring Boot 與 JWT 的結合可以為應用提供強大的安全保護。本文將詳細介紹如何在 Spring Boot 中集成 JWT 實現無狀態認證。

一、JWT 概述

1.1 什么是 JWT

JWT 是一種基于 JSON 的開放標準(RFC 7519),用于在各方之間傳遞聲明信息。它由三部分組成:頭部(Header)、載荷(Payload)和簽名(Signature)。JWT 的主要特點是無狀態、自包含和安全,非常適合用于分布式系統和微服務架構中的身份驗證和信息交換。

1.2 JWT 的工作原理

當用戶使用用戶名和密碼登錄系統時,認證服務器會驗證用戶的身份。如果驗證成功,服務器會生成一個 JWT,并將其返回給客戶端。客戶端在后續的請求中,將 JWT 放在請求頭的 Authorization 字段中,格式為 Bearer <token>。服務器接收到請求后,會驗證 JWT 的合法性,如果驗證通過,則允許用戶訪問受保護的資源。

二、Spring Boot 集成 JWT

2.1 添加依賴

在 Spring Boot 項目中,需要在 pom.xml 文件中添加 JWT 和 Spring Security 的依賴。

<!-- Spring Security -->
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency><!-- JWT -->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version>
</dependency>

2.2 配置 JWT 工具類

創建一個工具類 JwtUtil,用于生成和驗證 JWT。

import io.jsonwebtoken.*;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;import java.util.Date;
import java.util.HashMap;
import java.util.Map;@Component
public class JwtUtil {@Value("${jwt.secret}")private String secret;public String generateToken(String username) {Map<String, Object> claims = new HashMap<>();return Jwts.builder().setClaims(claims).setSubject(username).setIssuedAt(new Date(System.currentTimeMillis())).setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 10 小時有效期.signWith(SignatureAlgorithm.HS256, secret).compact();}public String extractUsername(String token) {return extractClaim(token, Claims::getSubject);}public Date extractExpiration(String token) {return extractClaim(token, Claims::getExpiration);}public <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {final Claims claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();return claimsResolver.apply(claims);}public Boolean isTokenExpired(String token) {return extractExpiration(token).before(new Date());}public Boolean validateToken(String token, String username) {final String extractedUsername = extractUsername(token);return (extractedUsername.equals(username) && !isTokenExpired(token));}
}

2.3 配置 Spring Security

創建一個 SecurityConfig 類,配置 Spring Security 以支持 JWT 認證。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate JwtRequestFilter jwtRequestFilter;@Autowiredprivate UserDetailsService userDetailsService;@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable().authorizeRequests().antMatchers("/api/authenticate").permitAll().anyRequest().authenticated().and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);}@Override@Beanpublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();}@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}
}

2.4 創建 JWT 請求過濾器

創建一個 JwtRequestFilter 類,用于在每個請求中解析 JWT,并將其設置到 Spring Security 上下文中。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;@Component
public class JwtRequestFilter extends OncePerRequestFilter {@Autowiredprivate JwtUtil jwtUtil;@Autowiredprivate UserDetailsService userDetailsService;@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)throws ServletException, IOException {final String authorizationHeader = request.getHeader("Authorization");String username = null;String jwt = null;if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {jwt = authorizationHeader.substring(7);username = jwtUtil.extractUsername(jwt);}if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {UserDetails userDetails = userDetailsService.loadUserByUsername(username);if (jwtUtil.validateToken(jwt, userDetails)) {UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);}}chain.doFilter(request, response);}
}

2.5 創建認證和授權接口

創建一個 AuthenticationController 類,用于處理用戶登錄和生成 JWT。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.*;@RestController
@RequestMapping("/api")
public class AuthenticationController {@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate JwtUtil jwtUtil;@Autowiredprivate UserDetailsService userDetailsService;@PostMapping("/authenticate")public ResponseEntity<?> createAuthenticationToken(@RequestBody AuthenticationRequest authenticationRequest) throws Exception {try {authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword()));} catch (BadCredentialsException e) {throw new Exception("Incorrect username or password", e);}final UserDetails userDetails = userDetailsService.loadUserByUsername(authenticationRequest.getUsername());final String jwt = jwtUtil.generateToken(userDetails.getUsername());return ResponseEntity.ok(new AuthenticationResponse(jwt));}
}

2.6 創建用戶詳情服務

創建一個 UserDetailsService 實現類,用于加載用戶信息。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;import java.util.ArrayList;@Service
public class CustomUserDetailsService implements UserDetailsService {@Autowiredprivate UserRepository userRepository;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userRepository.findByUsername(username).orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username));return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), new ArrayList<>());}
}

2.7 配置 application.properties

application.properties 文件中配置 JWT 密鑰。

jwt.secret=yourSecretKey

2.8 測試

啟動應用后,可以通過發送 POST 請求到 /api/authenticate 接口進行登錄,獲取 JWT。然后在請求頭中添加 Authorization: Bearer <token>,即可訪問受保護的接口。

三、總結

通過本文的介紹,我們詳細學習了如何在 Spring Boot 中集成 JWT 實現無狀態認證。我們添加了必要的依賴,配置了 JWT 工具類、Spring Security、JWT 請求過濾器、認證和授權接口以及用戶詳情服務。希望這些內容能夠幫助你在實際開發中更好地應用 JWT,提升應用的安全性。

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/web/71082.shtml
繁體地址,請注明出處:http://hk.pswp.cn/web/71082.shtml
英文地址,請注明出處:http://en.pswp.cn/web/71082.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

MIT何愷明再次突破傳統:分形遞歸架構引爆生成模型新紀元!

MIT何愷明再次突破傳統:分形遞歸架構引爆生成模型新紀元!

論文鏈接&#xff1a;https://arxiv.org/pdf/2502.17437 代碼鏈接&#xff1a;https://github.com/LTH14/fractalgen 亮點直擊 分形生成模型&#xff1a;首次將分形理論引入生成模型&#xff0c;提出了一種具有自相似性的遞歸生成框架。 遞歸模塊化&#xff1a;通過遞歸調用生…
閱讀更多...
用Python之requests庫調用大型語言模型(LLM)API的流式輸出與非流式輸出比較

用Python之requests庫調用大型語言模型(LLM)API的流式輸出與非流式輸出比較

文章目錄 1. 非流式輸出與流式輸出概述2. 非流式輸出2.1 代碼實例12.2 代碼實例2 3. 流式輸出3.1 流式輸出的定義和作用3.2 流式輸出適用的場景3.3 流式輸出的實現方式與實現技術3.4 代碼實例33.5 代碼實例4 4. 小結 1. 非流式輸出與流式輸出概述 大模型收到輸入后并不是一次性…
閱讀更多...
大模型技術:重塑未來的力量

大模型技術:重塑未來的力量

大模型技術之所以成為當今科技領域的熱點&#xff0c;是因為它擁有改變游戲規則的能力。以ChatGPT為例&#xff0c;這款由OpenAI開發的大型語言模型&#xff0c;首次實現了基于語言的智能涌現&#xff0c;推動了通用人工智能的技術飛躍和快速進化。大模型通過強大的數據處理能力…
閱讀更多...
【朝夕教育】《鴻蒙原生應用開發從零基礎到多實戰》005-TypeScript 中的枚舉

【朝夕教育】《鴻蒙原生應用開發從零基礎到多實戰》005-TypeScript 中的枚舉

標題詳情作者簡介愚公搬代碼頭銜華為云特約編輯&#xff0c;華為云云享專家&#xff0c;華為開發者專家&#xff0c;華為產品云測專家&#xff0c;CSDN博客專家&#xff0c;CSDN商業化專家&#xff0c;阿里云專家博主&#xff0c;阿里云簽約作者&#xff0c;騰訊云優秀博主&…
閱讀更多...
框架模塊說明 #09 日志模塊_02

框架模塊說明 #09 日志模塊_02

背景 上篇我們介紹了系統日志處理方式&#xff0c;也結合我們實際和日志系統集成的需求&#xff0c;將我們的日志文件配置成json格式。這次我們針對我們操作日志的處理進行一些介紹。 還是采用傳統的aop的形式進行操作日志的保存&#xff0c;并按業務類型進行定義保存到mongodb…
閱讀更多...
DeepSeek-R1自寫CUDA內核跑分屠榜:開啟GPU編程自動化新時代

DeepSeek-R1自寫CUDA內核跑分屠榜:開啟GPU編程自動化新時代

引言 在AI領域&#xff0c;深度學習模型的性能優化一直是研究者們關注的核心。最近&#xff0c;斯坦福和普林斯頓的研究團隊發現&#xff0c;DeepSeek-R1生成的自定義CUDA內核不僅超越了OpenAI的o1和Claude 3.5 Sonnet&#xff0c;還在KernelBench框架中取得了總排名第一的好成…
閱讀更多...
記Android12上一個原生bug引起的system_server crash

記Android12上一個原生bug引起的system_server crash

歡迎使用Markdown編輯器 一. 現象描述 近日測試上報一個幾乎必現的crash&#xff0c;描述如下: 現象: launcher編輯狀態與鎖屏解鎖交互時系統概率性重啟 操作步驟: 進入launcher組件編輯狀態按電源鍵滅屏后亮屏&#xff0c;鎖屏界面上滑解鎖launcher編輯狀態向右或向左滑動重…
閱讀更多...
系統架構設計師—計算機基礎篇—計算機體系結構

系統架構設計師—計算機基礎篇—計算機體系結構

文章目錄 計算機硬件分級存儲體系目的特點 硬件組成CPU運算器控制器 主存儲器 指令系統流水線 內存按字節編址磁盤陣列 計算機硬件 分級存儲體系 寄存器組&#xff08;CPU&#xff09;Cache&#xff08;內存&#xff09;主存Flash&#xff08;外存/輔存&#xff09; 目的 解…
閱讀更多...
Qt基于等待條件QWaitCondition實現的任務隊列模型示例

Qt基于等待條件QWaitCondition實現的任務隊列模型示例

核心概念 Qt中的QWaitCondition是一個用于多線程同步的類&#xff0c;允許線程在某些條件滿足時喚醒其他等待的線程。它通常與QMutex配合使用&#xff0c;協調線程之間的執行順序&#xff0c;適用于生產者-消費者模型、任務隊列調度等場景。 ?wait()&#xff1a;使當前線程進…
閱讀更多...
JAVA實戰開源項目:安康旅游網站(Vue+SpringBoot) 附源碼

JAVA實戰開源項目:安康旅游網站(Vue+SpringBoot) 附源碼

本文項目編號 T 098 &#xff0c;文末自助獲取源碼 \color{red}{T098&#xff0c;文末自助獲取源碼} T098&#xff0c;文末自助獲取源碼 目錄 一、系統介紹二、數據庫設計三、配套教程3.1 啟動教程3.2 講解視頻3.3 二次開發教程 四、功能截圖五、文案資料5.1 選題背景5.2 國內…
閱讀更多...
《Qt動畫編程實戰:輕松實現頭像旋轉效果》

《Qt動畫編程實戰:輕松實現頭像旋轉效果》

《Qt動畫編程實戰&#xff1a;輕松實現頭像旋轉效果》 Qt 提供了豐富的動畫框架&#xff0c;可以輕松實現各種平滑的動畫效果。其中&#xff0c;旋轉動畫是一種常見的 UI 交互方式&#xff0c;廣泛應用于加載指示器、按鈕動畫、場景變換等。本篇文章將詳細介紹如何使用 Qt 實現…
閱讀更多...
基于 MyBatis-Plus 的多租戶數據隔離方案

基于 MyBatis-Plus 的多租戶數據隔離方案

?什么是多租戶? 多租戶技術(Multi-Tenancy)是一種軟件架構設計,允許多個用戶(通常為企業或組織)共享同一套系統或應用程序,同時確保各用戶之間的數據隔離。這種技術廣泛應用于 SaaS(軟件即服務)平臺,能夠有效降低運維成本,提高資源利用率。 核心思想:在一臺服務…
閱讀更多...
8 SpringBootWeb(下):登錄效驗、異步任務和多線程、SpringBoot中的事務管理@Transactional

8 SpringBootWeb(下):登錄效驗、異步任務和多線程、SpringBoot中的事務管理@Transactional

文章目錄 案例-登錄認證1. 登錄功能1.1 需求1.2 接口文檔1.3 思路分析1.4 功能開發1.5 測試2. 登錄校驗2.1 問題分析2.2 會話技術2.2.1 會話技術介紹2.2.2 會話跟蹤方案2.2.2.1 方案一 - Cookie2.2.2.2 方案二 - Session2.2.2.3 方案三 - 令牌技術2.2.3 JWT令牌(Token)2.2.3.…
閱讀更多...
mysql系列10—mysql鎖

mysql系列10—mysql鎖

背景 mysql中鎖機制核心是保證數據的一致性以及并發控制。鎖機制的實現與存儲引擎有關&#xff0c;本文介紹的是INNODB存儲引擎的鎖機制&#xff1b;其他存儲引擎如myISAM和memory等僅支持表鎖不支持行鎖&#xff0c;不是本文關注的重點。 本文介紹mysql數據庫提供的鎖機制&am…
閱讀更多...
Redis7——基礎篇(八)

Redis7——基礎篇(八)

前言&#xff1a;此篇文章系本人學習過程中記錄下來的筆記&#xff0c;里面難免會有不少欠缺的地方&#xff0c;誠心期待大家多多給予指教。 基礎篇&#xff1a; Redis&#xff08;一&#xff09;Redis&#xff08;二&#xff09;Redis&#xff08;三&#xff09;Redis&#x…
閱讀更多...
《國密算法開發實戰:從合規落地到性能優化》

《國密算法開發實戰:從合規落地到性能優化》

前言 隨著信息技術的飛速發展,信息安全已成為全球關注的焦點。在數字化時代,數據的保密性、完整性和可用性直接關系到國家、企業和個人的利益。為了保障信息安全,密碼技術作為核心支撐,發揮著至關重要的作用。國密算法,即國家密碼算法,是我國自主設計和推廣的一系列密碼…
閱讀更多...
yolov12 部署瑞芯微 rk3588、RKNN 部署工程難度小、模型推理速度快

yolov12 部署瑞芯微 rk3588、RKNN 部署工程難度小、模型推理速度快

yolov12 部署又來了。 特別說明&#xff1a;如有侵權告知刪除&#xff0c;謝謝。 完整代碼&#xff1a;包括onnx轉rknn和測試代碼、rknn板端部署C代碼&#xff1a; 【onnx轉rknn和測試代碼】 【rknn板端部署C代碼】 1 模型訓練 yolov12訓練官方開源的已經非常詳細了&#…
閱讀更多...
windows本地化部署Dify+Deepseek

windows本地化部署Dify+Deepseek

Windows本地化部署DifyDeepseek 一、下載Docker 前往 Docker 官網 下載 Docker Desktop&#xff0c;按序安裝。 1.1啟用WSL 打開本機的控制面板>程序>啟用或關閉 Windows 功能,勾選: Linux 的 Windows 子系統虛擬機平臺&#xff08;若無該選擇則勾選 Hyper-V &#…
閱讀更多...
使用Spring Boot與達夢數據庫(DM)進行多數據源配置及MyBatis Plus集成

使用Spring Boot與達夢數據庫(DM)進行多數據源配置及MyBatis Plus集成

使用Spring Boot與達夢數據庫(DM)進行多數據源配置及MyBatis Plus集成 在現代企業級應用開發中&#xff0c;處理多個數據源是一個常見的需求。本文將詳細介紹如何使用Spring Boot結合達夢數據庫&#xff08;DM&#xff09;&#xff0c;并通過MyBatis Plus來簡化數據庫操作&…
閱讀更多...
第二十四:5.2【搭建 pinia 環境】axios 異步調用數據

第二十四:5.2【搭建 pinia 環境】axios 異步調用數據

第一步安裝&#xff1a;npm install pinia 第二步&#xff1a;操作src/main.ts 改變里面的值的信息&#xff1a; <div class"count"><h2>當前求和為&#xff1a;{{ sum }}</h2><select v-model.number"n">  // .number 這里是…
閱讀更多...
最新文章

Copyright @ 2022~2023