亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

目錄
什麼是JWT?
基本流程
使用Java JWT 實現認證與授權
1. 添加依賴(以Maven 為例)
2. 創(chuàng)建JWT 工具類
3. 攔截請求:實現過濾器(Filter)
4. 配置Filter(以Spring Boot 為例)
5. 登錄接口示例
6. 受保護的接口示例
安全建議
總結
首頁 Java java教程 JWT的Java身份驗證和授權

JWT的Java身份驗證和授權

Jul 29, 2025 am 12:07 AM
java 程式設計

JWT 是一種用於安全傳輸信息的開放標準,在Java 中可通過JJWT 庫實現認證與授權,1. 添加JJWT 的API、Impl 和Jackson 依賴;2. 創(chuàng)建JwtUtil 工具類生成、解析和驗證Token;3. 編寫JwtFilter 攔截請求併校驗Authorization 頭中的Bearer Token;4. 在Spring Boot 中註冊Filter 保護指定路徑;5. 提供登錄接口在驗證用戶後返回JWT;6. 受保護接口通過解析Token 獲取用戶身份和角色進行訪問控制,最終實現無狀態(tài)、可擴展的安全機制,適合分佈式系統應用,且需注意密鑰安全、Token 過期與HTTPS 傳輸等安全建議。

Java Authentication and Authorization with JWT

在現代Web 應用開發(fā)中,使用Java 實現用戶認證(Authentication)和授權(Authorization)是一個常見需求。 JWT(JSON Web Token)因其無狀態(tài)、可擴展和跨域支持良好,成為實現安全認證的主流方案之一。下面介紹如何在Java 應用中使用JWT 完成認證與授權。

Java Authentication and Authorization with JWT

什麼是JWT?

JWT 是一種開放標準(RFC 7519),用於在各方之間安全地傳輸信息作為JSON 對象。它通常用於身份驗證和信息交換。一個JWT 由三部分組成:

  • Header :包含令牌類型和簽名算法(如HMAC SHA256)
  • Payload :包含聲明(claims),比如用戶ID、角色、過期時間等
  • Signature :對前兩部分的簽名,確保數據未被篡改

格式為: xxxxx.yyyyy.zzzzz

Java Authentication and Authorization with JWT

基本流程

  1. 用戶登錄,提交用戶名和密碼
  2. 服務端驗證憑據,生成JWT 返回給客戶端
  3. 客戶端在後續(xù)請求中攜帶JWT(通常在Authorization頭中)
  4. 服務端驗證JWT 的有效性,並根據其中的聲明決定是否授權訪問資源

使用Java JWT 實現認證與授權

1. 添加依賴(以Maven 為例)

使用JJWT庫來處理JWT:

 <dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

注意:JJWT 0.11 支持模塊化,需要同時引入API、Impl 和Jackson 支持。

Java Authentication and Authorization with JWT

2. 創(chuàng)建JWT 工具類

import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;

import javax.crypto.SecretKey;
import java.util.Date;

public class JwtUtil {
    private static final SecretKey SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);
    private static final long EXPIRATION_TIME = 86400000; // 24 hours

    // 生成JWT
    public static String generateToken(String username, String role) {
        return Jwts.builder()
                .setSubject(username)
                .claim("role", role)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() EXPIRATION_TIME))
                .signWith(SECRET_KEY)
                .compact();
    }

    // 解析並驗證JWT
    public static Claims parseToken(String token) {
        try {
            return Jwts.parserBuilder()
                    .setSigningKey(SECRET_KEY)
                    .build()
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException e) {
            System.out.println("Token 已過期");
            return null;
        } catch (MalformedJwtException | SignatureException e) {
            System.out.println("無效的Token");
            return null;
        }
    }

    // 獲取用戶名public static String getUsernameFromToken(String token) {
        Claims claims = parseToken(token);
        return claims != null ? claims.getSubject() : null;
    }

    // 獲取角色public static String getRoleFromToken(String token) {
        Claims claims = parseToken(token);
        return (String) claims.get("role");
    }

    // 驗證Token 是否有效public static boolean isTokenValid(String token, String username) {
        String tokenUsername = getUsernameFromToken(token);
        return (tokenUsername != null && tokenUsername.equals(username) && parseToken(token) != null);
    }
}

3. 攔截請求:實現過濾器(Filter)

創(chuàng)建一個JwtFilter來攔截請求並驗證JWT。

 import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class JwtFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        String token = httpRequest.getHeader("Authorization");

        if (token != null && token.startsWith("Bearer ")) {
            token = token.substring(7); // 去掉"Bearer "
            String username = JwtUtil.getUsernameFromToken(token);

            if (username != null && JwtUtil.isTokenValid(token, username)) {
                // 可以將用戶信息存入request 屬性或Security Context
                httpRequest.setAttribute("currentUser", username);
                httpRequest.setAttribute("role", JwtUtil.getRoleFromToken(token));
                chain.doFilter(request, response);
            } else {
                httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                httpResponse.getWriter().write("無效或過期的Token");
            }
        } else {
            httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            httpResponse.getWriter().write("缺少Token");
        }
    }
}

4. 配置Filter(以Spring Boot 為例)

如果你使用的是Spring Boot,可以在配置類中註冊Filter:

 @Bean
public FilterRegistrationBean<JwtFilter> jwtFilter() {
    FilterRegistrationBean<JwtFilter> registrationBean = new FilterRegistrationBean<>();
    registrationBean.setFilter(new JwtFilter());
    registrationBean.addUrlPatterns("/api/secure/*"); // 保護的路徑return registrationBean;
}

5. 登錄接口示例

@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody UserLoginRequest request) {
    // 簡化:實際應查數據庫密碼加密校驗if ("admin".equals(request.getUsername()) && "password".equals(request.getPassword())) {
        String token = JwtUtil.generateToken(request.getUsername(), "ADMIN");
        return ResponseEntity.ok().body(Map.of("token", token));
    }
    return ResponseEntity.status(401).body("用戶名或密碼錯誤");
}

6. 受保護的接口示例

@GetMapping("/secure/data")
public ResponseEntity<?> getSecureData(HttpServletRequest request) {
    String user = (String) request.getAttribute("currentUser");
    String role = (String) request.getAttribute("role");

    if ("ADMIN".equals(role)) {
        return ResponseEntity.ok("Hello " user ", you have admin access!");
    } else {
        return ResponseEntity.status(403).body("權限不足");
    }
}

安全建議

  • 密鑰管理:不要在代碼中硬編碼密鑰,應使用環(huán)境變量或配置中心
  • Token 過期時間:合理設置過期時間,敏感操作建議使用短時效Token
  • 刷新Token :可配合refresh token 機制提升用戶體驗
  • HTTPS :確保傳輸層安全,防止Token 被竊取
  • 避免敏感信息:不要在JWT payload 中存放密碼等敏感數據

總結

使用JWT 在Java 中實現認證和授權並不復雜,核心是:

  • 登錄成功後生成Token
  • 客戶端攜帶Token 請求
  • 服務端通過Filter 驗證Token 並提取用戶信息
  • 根據角色實現授權控制

這套機制適合分佈式、微服務架構,避免了服務端存儲session 的開銷。

基本上就這些,不復雜但容易忽略細節(jié),比如異常處理和密鑰安全。

以上是JWT的Java身份驗證和授權的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發(fā)現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

Java項目管理Maven的開發(fā)人員指南 Java項目管理Maven的開發(fā)人員指南 Jul 30, 2025 am 02:41 AM

Maven是Java項目管理和構建的標準工具,答案在於它通過pom.xml實現項目結構標準化、依賴管理、構建生命週期自動化和插件擴展;1.使用pom.xml定義groupId、artifactId、version和dependencies;2.掌握核心命令如mvnclean、compile、test、package、install和deploy;3.利用dependencyManagement和exclusions管理依賴版本與衝突;4.通過多模塊項目結構組織大型應用並由父POM統一管理;5.配

用雅加達EE在Java建立靜止的API 用雅加達EE在Java建立靜止的API Jul 30, 2025 am 03:05 AM

SetupaMaven/GradleprojectwithJAX-RSdependencieslikeJersey;2.CreateaRESTresourceusingannotationssuchas@Pathand@GET;3.ConfiguretheapplicationviaApplicationsubclassorweb.xml;4.AddJacksonforJSONbindingbyincludingjersey-media-json-jackson;5.DeploytoaJakar

如何將Java MistageDigest用於哈希(MD5,SHA-256)? 如何將Java MistageDigest用於哈希(MD5,SHA-256)? Jul 30, 2025 am 02:58 AM

要使用Java生成哈希值,可通過MessageDigest類實現。 1.獲取指定算法的實例,如MD5或SHA-256;2.調用.update()方法傳入待加密數據;3.調用.digest()方法獲取哈希字節(jié)數組;4.將字節(jié)數組轉換為十六進製字符串以便讀取;對於大文件等輸入,應分塊讀取並多次調用.update();推薦使用SHA-256而非MD5或SHA-1以確保安全性。

在Java開發(fā)區(qū)塊鏈應用程序 在Java開發(fā)區(qū)塊鏈應用程序 Jul 30, 2025 am 12:43 AM

理解區(qū)塊鏈核心組件,包括區(qū)塊、哈希、鍊式結構、共識機制和不可篡改性;2.創(chuàng)建包含數據、時間戳、前一哈希和Nonce的Block類,並實現SHA-256哈希計算與工作量證明挖礦;3.構建Blockchain類管理區(qū)塊列表,初始化創(chuàng)世區(qū)塊,添加新區(qū)塊並驗證鏈的完整性;4.編寫主類測試區(qū)塊鏈,依次添加交易數據區(qū)塊並輸出鏈狀態(tài);5.可選增強功能包括交易支持、P2P網絡、數字簽名、RESTAPI和數據持久化;6.可選用HyperledgerFabric、Web3J或Corda等Java區(qū)塊鏈庫進行生產級開

CSS暗模式切換示例 CSS暗模式切換示例 Jul 30, 2025 am 05:28 AM

首先通過JavaScript獲取用戶系統偏好和本地存儲的主題設置,初始化頁面主題;1.HTML結構包含一個按鈕用於觸發(fā)主題切換;2.CSS使用:root定義亮色主題變量,.dark-mode類定義暗色主題變量,並通過var()應用這些變量;3.JavaScript檢測prefers-color-scheme並讀取localStorage決定初始主題;4.點擊按鈕時切換html元素上的dark-mode類,並將當前狀態(tài)保存至localStorage;5.所有顏色變化均帶有0.3秒過渡動畫,提升用戶

CSS下拉菜單示例 CSS下拉菜單示例 Jul 30, 2025 am 05:36 AM

是的,一個常見的CSS下拉菜單可以通過純HTML和CSS實現,無需JavaScript。 1.使用嵌套的ul和li構建菜單結構;2.通過:hover偽類控制下拉內容的顯示與隱藏;3.父級li設置position:relative,子菜單使用position:absolute進行定位;4.子菜單默認display:none,懸停時變?yōu)閐isplay:block;5.可通過嵌套實現多級下拉,結合transition添加淡入動畫,配合媒體查詢適配移動端,整個方案簡潔且無需JavaScript支持,適合大

Python物業(yè)裝飾示例 Python物業(yè)裝飾示例 Jul 30, 2025 am 02:17 AM

@property裝飾器用於將方法轉為屬性,實現屬性的讀取、設置和刪除控制。 1.基本用法:通過@property定義只讀屬性,如area根據radius計算並直接訪問;2.進階用法:使用@name.setter和@name.deleter實現屬性的賦值驗證與刪除操作;3.實際應用:在setter中進行數據驗證,如BankAccount確保餘額非負;4.命名規(guī)範:內部變量用_前綴,property方法名與屬性一致,通過property統一訪問控制,提升代碼安全性和可維護性。

CSS全頁佈局示例 CSS全頁佈局示例 Jul 30, 2025 am 05:39 AM

使用Flexbox或Grid可實現全屏佈局,核心是讓頁面最小高度為視口高度(min-height:100vh);2.通過flex:1或grid-template-rows:auto1frauto使內容區(qū)域佔滿剩餘空間;3.設置box-sizing:border-box確保內邊距不超出容器;4.配合響應式媒體查詢優(yōu)化移動端體驗;該方案兼容性好且結構清晰,適用於登錄頁、儀錶盤等場景,最終實現內容垂直居中並佔滿視口的全屏頁面佈局。

See all articles