答案:使用JWT实现身份认证需引入jjwt库,登录后生成含用户信息的Token并返回,客户端每次请求携带Token,服务器验证其有效性。具体步骤包括:1. 在pom.xml中添加jjwt-api、jjwt-impl、jjwt-jackson依赖;2. 利用Jwts.builder()生成带用户ID、过期时间的Token,并用密钥签名;3. 客户端将Token存入Authorization头,格式为Bearer+空格+Token;4. 服务器通过JWTUtil.validateToken()校验签名和过期时间,解析用户信息;5. 结合Filter在请求中自动验证Token,非法则返回401;6. 密钥应安全存储,避免硬编码;7. 过期时间建议15分钟至2小时,高安全场景配合RefreshToken机制;8. 防盗用可加入IP、User-Agent校验,并支持RefreshToken吊销。
Java中使用JWT(json Web Token)实现身份认证,简单来说,就是用一串加密的字符串来证明“你是谁”,而不用每次都去数据库验证用户名密码。这玩意儿就像你进门的通行证,服务器发给你,你带着,每次请求都出示一下,服务器一看,没问题,放行。
解决方案
要用JWT,你需要几个关键步骤:
-
引入JWT库: 比如
jjwt
,在你的
pom.xml
(如果你用maven)里加依赖:
立即学习“Java免费学习笔记(深入)”;
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency>
-
生成JWT: 当用户登录成功后,服务器生成一个JWT,包含用户的信息(比如用户ID、用户名),然后用密钥签名。
import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import java.security.Key; import java.util.Date; public class JWTUtil { private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256); // 生产环境用更安全的密钥 public static String generateToken(String userId) { return Jwts.builder() .setSubject(userId) // 可以放用户ID,或者其他你需要的用户信息 .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间,这里是1小时 .signWith(SECRET_KEY) .compact(); } public static String getUserIdFromToken(String token) { return Jwts.parserBuilder() .setSigningKey(SECRET_KEY) .build() .parseClaimsJws(token) .getBody() .getSubject(); } public static boolean validateToken(String token) { try { Jwts.parserBuilder().setSigningKey(SECRET_KEY).build().parseClaimsJws(token); return true; } catch (Exception e) { // 这里可以根据不同的异常类型进行更细致的处理 return false; } } public static void main(String[] args) { String userId = "user123"; String token = generateToken(userId); System.out.println("Generated Token: " + token); String extractedUserId = getUserIdFromToken(token); System.out.println("User ID from Token: " + extractedUserId); boolean isValid = validateToken(token); System.out.println("Is Token Valid: " + isValid); } } -
返回JWT: 将生成的JWT返回给客户端(通常放在http Header里,比如
Authorization: Bearer <token>
)。
-
验证JWT: 客户端每次请求时,都带上JWT,服务器收到后,验证JWT的签名是否正确,是否过期。如果验证通过,就认为用户已经认证。
// 示例:在spring security的Filter里验证JWT import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class JWTAuthenticationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = request.getHeader("Authorization"); if (token != null && token.startsWith("Bearer ")) { token = token.substring(7); // 去掉 "Bearer " 前缀 if (JWTUtil.validateToken(token)) { String userId = JWTUtil.getUserIdFromToken(token); // 这里可以根据userId去数据库查用户信息,然后设置到Spring Security的Context里 // 例如: // UserDetails userDetails = userDetailsService.loadUserByUsername(userId); // UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); // authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); // SecurityContextHolder.getContext().setAuthentication(authentication); } else { // Token验证失败,可以返回错误信息 response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return; } } filterChain.doFilter(request, response); } }
-
安全性: 密钥一定要保管好!泄露了就完蛋了。生产环境要用更安全的密钥生成方式,不要硬编码在代码里。
如何选择合适的JWT库?
选择JWT库,主要看这几个方面:安全性、性能、易用性、社区活跃度。
jjwt
是一个比较流行的选择,因为它功能比较全,文档也比较完善。但也有其他的选择,比如
Nimbus JOSE + JWT
,各有优缺点,根据你的项目需求来。
JWT的过期时间应该设置多久?
过期时间是个权衡。太短了,用户频繁登录,体验不好;太长了,安全性降低,万一Token泄露,风险就大了。一般来说,15分钟到2小时比较常见。对于一些安全性要求高的场景,可以设置短一点,然后配合RefreshToken机制来延长会话。
如何处理JWT被盗用的情况?
JWT被盗用确实是个麻烦事。一个办法是引入RefreshToken机制。RefreshToken的过期时间更长,用来换取新的AccessToken。当AccessToken被盗用后,可以立即废弃RefreshToken,让盗用者无法继续获取新的AccessToken。另外,可以考虑在JWT里加入一些设备信息,比如IP地址、User-Agent,如果发现请求的设备信息和JWT里的不一致,就认为Token可能被盗用。
