当前位置：首页 > 文章列表 > 文章 > java教程 > JWT身份认证教程：Java实现方法

JWT身份认证教程：Java实现方法

2025-08-15 12:41:50 0浏览收藏

哈喽！今天心血来潮给大家带来了《Java教程：JWT实现身份认证方法》，想必大家应该对文章都不陌生吧，那么阅读本文就都不会很困难，以下内容主要涉及到，若是你正在学习文章，千万别错过这篇文章~希望能帮助到你！

答案：使用JWT实现身份认证需引入jjwt库，登录后生成含用户信息的Token并返回，客户端每次请求携带Token，服务器验证其有效性。具体步骤包括：1. 在pom.xml中添加jjwt-api、jjwt-impl、jjwt-jackson依赖；2. 利用Jwts.builder()生成带用户ID、过期时间的Token，并用密钥签名；3. 客户端将Token存入Authorization头，格式为Bearer+空格+Token；4. 服务器通过JWTUtil.validateToken()校验签名和过期时间，解析用户信息；5. 结合Filter在请求中自动验证Token，非法则返回401；6. 密钥应安全存储，避免硬编码；7. 过期时间建议15分钟至2小时，高安全场景配合RefreshToken机制；8. 防盗用可加入IP、User-Agent校验，并支持RefreshToken吊销。

java使用教程如何使用JWT实现身份认证 java使用教程的JWT认证应用方法

Java中使用JWT（JSON Web Token）实现身份认证，简单来说，就是用一串加密的字符串来证明“你是谁”，而不用每次都去数据库验证用户名密码。这玩意儿就像你进门的通行证，服务器发给你，你带着，每次请求都出示一下，服务器一看，没问题，放行。

解决方案

要用JWT，你需要几个关键步骤：

引入JWT库： 比如jjwt，在你的pom.xml（如果你用Maven）里加依赖：

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

生成JWT： 当用户登录成功后，服务器生成一个JWT，包含用户的信息（比如用户ID、用户名），然后用密钥签名。

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;

import java.security.Key;
import java.util.Date;

public class JWTUtil {

    private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256); // 生产环境用更安全的密钥

    public static String generateToken(String userId) {
        return Jwts.builder()
                .setSubject(userId) // 可以放用户ID，或者其他你需要的用户信息
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间，这里是1小时
                .signWith(SECRET_KEY)
                .compact();
    }

    public static String getUserIdFromToken(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(SECRET_KEY)
                .build()
                .parseClaimsJws(token)
                .getBody()
                .getSubject();
    }

    public static boolean validateToken(String token) {
        try {
            Jwts.parserBuilder().setSigningKey(SECRET_KEY).build().parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            // 这里可以根据不同的异常类型进行更细致的处理
            return false;
        }
    }

    public static void main(String[] args) {
        String userId = "user123";
        String token = generateToken(userId);
        System.out.println("Generated Token: " + token);

        String extractedUserId = getUserIdFromToken(token);
        System.out.println("User ID from Token: " + extractedUserId);

        boolean isValid = validateToken(token);
        System.out.println("Is Token Valid: " + isValid);
    }
}

返回JWT： 将生成的JWT返回给客户端（通常放在HTTP Header里，比如Authorization: Bearer ）。

验证JWT： 客户端每次请求时，都带上JWT，服务器收到后，验证JWT的签名是否正确，是否过期。如果验证通过，就认为用户已经认证。

// 示例：在Spring Security的Filter里验证JWT
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class JWTAuthenticationFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = request.getHeader("Authorization");

        if (token != null && token.startsWith("Bearer ")) {
            token = token.substring(7); // 去掉 "Bearer " 前缀
            if (JWTUtil.validateToken(token)) {
                String userId = JWTUtil.getUserIdFromToken(token);
                // 这里可以根据userId去数据库查用户信息，然后设置到Spring Security的Context里
                // 例如：
                // UserDetails userDetails = userDetailsService.loadUserByUsername(userId);
                // UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                // authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                // SecurityContextHolder.getContext().setAuthentication(authentication);
            } else {
                // Token验证失败，可以返回错误信息
                response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                return;
            }
        }

        filterChain.doFilter(request, response);
    }
}

安全性： 密钥一定要保管好！泄露了就完蛋了。生产环境要用更安全的密钥生成方式，不要硬编码在代码里。

如何选择合适的JWT库？

选择JWT库，主要看这几个方面：安全性、性能、易用性、社区活跃度。jjwt 是一个比较流行的选择，因为它功能比较全，文档也比较完善。但也有其他的选择，比如Nimbus JOSE + JWT，各有优缺点，根据你的项目需求来。

JWT的过期时间应该设置多久？

过期时间是个权衡。太短了，用户频繁登录，体验不好；太长了，安全性降低，万一Token泄露，风险就大了。一般来说，15分钟到2小时比较常见。对于一些安全性要求高的场景，可以设置短一点，然后配合RefreshToken机制来延长会话。

如何处理JWT被盗用的情况？

JWT被盗用确实是个麻烦事。一个办法是引入RefreshToken机制。RefreshToken的过期时间更长，用来换取新的AccessToken。当AccessToken被盗用后，可以立即废弃RefreshToken，让盗用者无法继续获取新的AccessToken。另外，可以考虑在JWT里加入一些设备信息，比如IP地址、User-Agent，如果发现请求的设备信息和JWT里的不一致，就认为Token可能被盗用。

本篇关于《JWT身份认证教程：Java实现方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！

java 身份认证 jwt JJWT Token管理