亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

目錄
什么是 JWT?
基本流程
使用 Java JWT 實(shí)現(xiàn)認(rèn)證與授權(quán)
1. 添加依賴(以 Maven 為例)
2. 創(chuàng)建 JWT 工具類
3. 攔截請(qǐng)求:實(shí)現(xiàn)過濾器(Filter)
4. 配置 Filter(以 Spring Boot 為例)
5. 登錄接口示例
6. 受保護(hù)的接口示例
安全建議
總結(jié)
首頁 Java java教程 JWT的Java身份驗(yàn)證和授權(quán)

JWT的Java身份驗(yàn)證和授權(quán)

Jul 29, 2025 am 12:07 AM
java 編程

JWT 是一種用于安全傳輸信息的開放標(biāo)準(zhǔn),在 Java 中可通過 JJWT 庫實(shí)現(xiàn)認(rèn)證與授權(quán),1. 添加 JJWT 的 API、Impl 和 Jackson 依賴;2. 創(chuàng)建 JwtUtil 工具類生成、解析和驗(yàn)證 Token;3. 編寫 JwtFilter 攔截請(qǐng)求并校驗(yàn) Authorization 頭中的 Bearer Token;4. 在 Spring Boot 中注冊(cè) Filter 保護(hù)指定路徑;5. 提供登錄接口在驗(yàn)證用戶后返回 JWT;6. 受保護(hù)接口通過解析 Token 獲取用戶身份和角色進(jìn)行訪問控制,最終實(shí)現(xiàn)無狀態(tài)、可擴(kuò)展的安全機(jī)制,適合分布式系統(tǒng)應(yīng)用,且需注意密鑰安全、Token 過期與 HTTPS 傳輸?shù)劝踩ㄗh。

Java Authentication and Authorization with JWT

在現(xiàn)代 Web 應(yīng)用開發(fā)中,使用 Java 實(shí)現(xiàn)用戶認(rèn)證(Authentication)和授權(quán)(Authorization)是一個(gè)常見需求。JWT(JSON Web Token)因其無狀態(tài)、可擴(kuò)展和跨域支持良好,成為實(shí)現(xiàn)安全認(rèn)證的主流方案之一。下面介紹如何在 Java 應(yīng)用中使用 JWT 完成認(rèn)證與授權(quán)。

Java Authentication and Authorization with JWT

什么是 JWT?

JWT 是一種開放標(biāo)準(zhǔn)(RFC 7519),用于在各方之間安全地傳輸信息作為 JSON 對(duì)象。它通常用于身份驗(yàn)證和信息交換。一個(gè) JWT 由三部分組成:

  • Header:包含令牌類型和簽名算法(如 HMAC SHA256)
  • Payload:包含聲明(claims),比如用戶 ID、角色、過期時(shí)間等
  • Signature:對(duì)前兩部分的簽名,確保數(shù)據(jù)未被篡改

格式為:xxxxx.yyyyy.zzzzz

Java Authentication and Authorization with JWT

基本流程

  1. 用戶登錄,提交用戶名和密碼
  2. 服務(wù)端驗(yàn)證憑據(jù),生成 JWT 返回給客戶端
  3. 客戶端在后續(xù)請(qǐng)求中攜帶 JWT(通常在 Authorization 頭中)
  4. 服務(wù)端驗(yàn)證 JWT 的有效性,并根據(jù)其中的聲明決定是否授權(quán)訪問資源

使用 Java JWT 實(shí)現(xiàn)認(rèn)證與授權(quán)

1. 添加依賴(以 Maven 為例)

使用 JJWT 庫來處理 JWT:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

注意:JJWT 0.11 支持模塊化,需要同時(shí)引入 API、Impl 和 Jackson 支持。

Java Authentication and Authorization with JWT

2. 創(chuàng)建 JWT 工具類

import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;

import javax.crypto.SecretKey;
import java.util.Date;

public class JwtUtil {
    private static final SecretKey SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);
    private static final long EXPIRATION_TIME = 86400000; // 24 hours

    // 生成 JWT
    public static String generateToken(String username, String role) {
        return Jwts.builder()
                .setSubject(username)
                .claim("role", role)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis()   EXPIRATION_TIME))
                .signWith(SECRET_KEY)
                .compact();
    }

    // 解析并驗(yàn)證 JWT
    public static Claims parseToken(String token) {
        try {
            return Jwts.parserBuilder()
                    .setSigningKey(SECRET_KEY)
                    .build()
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException e) {
            System.out.println("Token 已過期");
            return null;
        } catch (MalformedJwtException | SignatureException e) {
            System.out.println("無效的 Token");
            return null;
        }
    }

    // 獲取用戶名
    public static String getUsernameFromToken(String token) {
        Claims claims = parseToken(token);
        return claims != null ? claims.getSubject() : null;
    }

    // 獲取角色
    public static String getRoleFromToken(String token) {
        Claims claims = parseToken(token);
        return (String) claims.get("role");
    }

    // 驗(yàn)證 Token 是否有效
    public static boolean isTokenValid(String token, String username) {
        String tokenUsername = getUsernameFromToken(token);
        return (tokenUsername != null && tokenUsername.equals(username) && parseToken(token) != null);
    }
}

3. 攔截請(qǐng)求:實(shí)現(xiàn)過濾器(Filter)

創(chuàng)建一個(gè) JwtFilter 來攔截請(qǐng)求并驗(yàn)證 JWT。

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class JwtFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        String token = httpRequest.getHeader("Authorization");

        if (token != null && token.startsWith("Bearer ")) {
            token = token.substring(7); // 去掉 "Bearer "
            String username = JwtUtil.getUsernameFromToken(token);

            if (username != null && JwtUtil.isTokenValid(token, username)) {
                // 可以將用戶信息存入 request 屬性或 Security Context
                httpRequest.setAttribute("currentUser", username);
                httpRequest.setAttribute("role", JwtUtil.getRoleFromToken(token));
                chain.doFilter(request, response);
            } else {
                httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                httpResponse.getWriter().write("無效或過期的 Token");
            }
        } else {
            httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            httpResponse.getWriter().write("缺少 Token");
        }
    }
}

4. 配置 Filter(以 Spring Boot 為例)

如果你使用的是 Spring Boot,可以在配置類中注冊(cè) Filter:

@Bean
public FilterRegistrationBean<JwtFilter> jwtFilter() {
    FilterRegistrationBean<JwtFilter> registrationBean = new FilterRegistrationBean<>();
    registrationBean.setFilter(new JwtFilter());
    registrationBean.addUrlPatterns("/api/secure/*"); // 保護(hù)的路徑
    return registrationBean;
}

5. 登錄接口示例

@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody UserLoginRequest request) {
    // 簡(jiǎn)化:實(shí)際應(yīng)查數(shù)據(jù)庫   密碼加密校驗(yàn)
    if ("admin".equals(request.getUsername()) && "password".equals(request.getPassword())) {
        String token = JwtUtil.generateToken(request.getUsername(), "ADMIN");
        return ResponseEntity.ok().body(Map.of("token", token));
    }
    return ResponseEntity.status(401).body("用戶名或密碼錯(cuò)誤");
}

6. 受保護(hù)的接口示例

@GetMapping("/secure/data")
public ResponseEntity<?> getSecureData(HttpServletRequest request) {
    String user = (String) request.getAttribute("currentUser");
    String role = (String) request.getAttribute("role");

    if ("ADMIN".equals(role)) {
        return ResponseEntity.ok("Hello "   user   ", you have admin access!");
    } else {
        return ResponseEntity.status(403).body("權(quán)限不足");
    }
}

安全建議

  • 密鑰管理:不要在代碼中硬編碼密鑰,應(yīng)使用環(huán)境變量或配置中心
  • Token 過期時(shí)間:合理設(shè)置過期時(shí)間,敏感操作建議使用短時(shí)效 Token
  • 刷新 Token:可配合 refresh token 機(jī)制提升用戶體驗(yàn)
  • HTTPS:確保傳輸層安全,防止 Token 被竊取
  • 避免敏感信息:不要在 JWT payload 中存放密碼等敏感數(shù)據(jù)

總結(jié)

使用 JWT 在 Java 中實(shí)現(xiàn)認(rèn)證和授權(quán)并不復(fù)雜,核心是:

  • 登錄成功后生成 Token
  • 客戶端攜帶 Token 請(qǐng)求
  • 服務(wù)端通過 Filter 驗(yàn)證 Token 并提取用戶信息
  • 根據(jù)角色實(shí)現(xiàn)授權(quán)控制

這套機(jī)制適合分布式、微服務(wù)架構(gòu),避免了服務(wù)端存儲(chǔ) session 的開銷。

基本上就這些,不復(fù)雜但容易忽略細(xì)節(jié),比如異常處理和密鑰安全。

以上是JWT的Java身份驗(yàn)證和授權(quán)的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章!

本站聲明
本文內(nèi)容由網(wǎng)友自發(fā)貢獻(xiàn),版權(quán)歸原作者所有,本站不承擔(dān)相應(yīng)法律責(zé)任。如您發(fā)現(xiàn)有涉嫌抄襲侵權(quán)的內(nèi)容,請(qǐng)聯(lián)系admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費(fèi)脫衣服圖片

Undresser.AI Undress

Undresser.AI Undress

人工智能驅(qū)動(dòng)的應(yīng)用程序,用于創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用于從照片中去除衣服的在線人工智能工具。

Clothoff.io

Clothoff.io

AI脫衣機(jī)

Video Face Swap

Video Face Swap

使用我們完全免費(fèi)的人工智能換臉工具輕松在任何視頻中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費(fèi)的代碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

功能強(qiáng)大的PHP集成開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網(wǎng)頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級(jí)代碼編輯軟件(SublimeText3)

Java項(xiàng)目管理Maven的開發(fā)人員指南 Java項(xiàng)目管理Maven的開發(fā)人員指南 Jul 30, 2025 am 02:41 AM

Maven是Java項(xiàng)目管理和構(gòu)建的標(biāo)準(zhǔn)工具,答案在于它通過pom.xml實(shí)現(xiàn)項(xiàng)目結(jié)構(gòu)標(biāo)準(zhǔn)化、依賴管理、構(gòu)建生命周期自動(dòng)化和插件擴(kuò)展;1.使用pom.xml定義groupId、artifactId、version和dependencies;2.掌握核心命令如mvnclean、compile、test、package、install和deploy;3.利用dependencyManagement和exclusions管理依賴版本與沖突;4.通過多模塊項(xiàng)目結(jié)構(gòu)組織大型應(yīng)用并由父POM統(tǒng)一管理;5.配

用雅加達(dá)EE在Java建立靜止的API 用雅加達(dá)EE在Java建立靜止的API Jul 30, 2025 am 03:05 AM

SetupaMaven/GradleprojectwithJAX-RSdependencieslikeJersey;2.CreateaRESTresourceusingannotationssuchas@Pathand@GET;3.ConfiguretheapplicationviaApplicationsubclassorweb.xml;4.AddJacksonforJSONbindingbyincludingjersey-media-json-jackson;5.DeploytoaJakar

如何將Java MistageDigest用于哈希(MD5,SHA-256)? 如何將Java MistageDigest用于哈希(MD5,SHA-256)? Jul 30, 2025 am 02:58 AM

要使用Java生成哈希值,可通過MessageDigest類實(shí)現(xiàn)。1.獲取指定算法的實(shí)例,如MD5或SHA-256;2.調(diào)用.update()方法傳入待加密數(shù)據(jù);3.調(diào)用.digest()方法獲取哈希字節(jié)數(shù)組;4.將字節(jié)數(shù)組轉(zhuǎn)換為十六進(jìn)制字符串以便讀??;對(duì)于大文件等輸入,應(yīng)分塊讀取并多次調(diào)用.update();推薦使用SHA-256而非MD5或SHA-1以確保安全性。

Jul 30, 2025 am 12:43 AM

理解區(qū)塊鏈核心組件,包括區(qū)塊、哈希、鏈?zhǔn)浇Y(jié)構(gòu)、共識(shí)機(jī)制和不可篡改性;2.創(chuàng)建包含數(shù)據(jù)、時(shí)間戳、前一哈希和Nonce的Block類,并實(shí)現(xiàn)SHA-256哈希計(jì)算與工作量證明挖礦;3.構(gòu)建Blockchain類管理區(qū)塊列表,初始化創(chuàng)世區(qū)塊,添加新區(qū)塊并驗(yàn)證鏈的完整性;4.編寫主類測(cè)試區(qū)塊鏈,依次添加交易數(shù)據(jù)區(qū)塊并輸出鏈狀態(tài);5.可選增強(qiáng)功能包括交易支持、P2P網(wǎng)絡(luò)、數(shù)字簽名、RESTAPI和數(shù)據(jù)持久化;6.可選用HyperledgerFabric、Web3J或Corda等Java區(qū)塊鏈庫進(jìn)行生產(chǎn)級(jí)開

Python物業(yè)裝飾示例 Python物業(yè)裝飾示例 Jul 30, 2025 am 02:17 AM

@property裝飾器用于將方法轉(zhuǎn)為屬性,實(shí)現(xiàn)屬性的讀取、設(shè)置和刪除控制。1.基本用法:通過@property定義只讀屬性,如area根據(jù)radius計(jì)算并直接訪問;2.進(jìn)階用法:使用@name.setter和@name.deleter實(shí)現(xiàn)屬性的賦值驗(yàn)證與刪除操作;3.實(shí)際應(yīng)用:在setter中進(jìn)行數(shù)據(jù)驗(yàn)證,如BankAccount確保余額非負(fù);4.命名規(guī)范:內(nèi)部變量用_前綴,property方法名與屬性一致,通過property統(tǒng)一訪問控制,提升代碼安全性和可維護(hù)性。

CSS暗模式切換示例 CSS暗模式切換示例 Jul 30, 2025 am 05:28 AM

首先通過JavaScript獲取用戶系統(tǒng)偏好和本地存儲(chǔ)的主題設(shè)置,初始化頁面主題;1.HTML結(jié)構(gòu)包含一個(gè)按鈕用于觸發(fā)主題切換;2.CSS使用:root定義亮色主題變量,.dark-mode類定義暗色主題變量,并通過var()應(yīng)用這些變量;3.JavaScript檢測(cè)prefers-color-scheme并讀取localStorage決定初始主題;4.點(diǎn)擊按鈕時(shí)切換html元素上的dark-mode類,并將當(dāng)前狀態(tài)保存至localStorage;5.所有顏色變化均帶有0.3秒過渡動(dòng)畫,提升用戶

CSS下拉菜單示例 CSS下拉菜單示例 Jul 30, 2025 am 05:36 AM

是的,一個(gè)常見的CSS下拉菜單可以通過純HTML和CSS實(shí)現(xiàn),無需JavaScript。1.使用嵌套的ul和li構(gòu)建菜單結(jié)構(gòu);2.通過:hover偽類控制下拉內(nèi)容的顯示與隱藏;3.父級(jí)li設(shè)置position:relative,子菜單使用position:absolute進(jìn)行定位;4.子菜單默認(rèn)display:none,懸停時(shí)變?yōu)閐isplay:block;5.可通過嵌套實(shí)現(xiàn)多級(jí)下拉,結(jié)合transition添加淡入動(dòng)畫,配合媒體查詢適配移動(dòng)端,整個(gè)方案簡(jiǎn)潔且無需JavaScript支持,適合大

CSS全頁布局示例 CSS全頁布局示例 Jul 30, 2025 am 05:39 AM

使用Flexbox或Grid可實(shí)現(xiàn)全屏布局,核心是讓頁面最小高度為視口高度(min-height:100vh);2.通過flex:1或grid-template-rows:auto1frauto使內(nèi)容區(qū)域占滿剩余空間;3.設(shè)置box-sizing:border-box確保內(nèi)邊距不超出容器;4.配合響應(yīng)式媒體查詢優(yōu)化移動(dòng)端體驗(yàn);該方案兼容性好且結(jié)構(gòu)清晰,適用于登錄頁、儀表盤等場(chǎng)景,最終實(shí)現(xiàn)內(nèi)容垂直居中并占滿視口的全屏頁面布局。

See all articles