JWT身份认证教程：Java实现方法

哈喽！今天心血来潮给大家带来了《Java教程：JWT实现身份认证方法》，想必大家应该对文章都不陌生吧，那么阅读本文就都不会很困难，以下内容主要涉及到，若是你正在学习文章，千万别错过这篇文章~希望能帮助到你！

答案：使用JWT实现身份认证需引入jjwt库，登录后生成含用户信息的Token并返回，客户端每次请求携带Token，服务器验证其有效性。具体步骤包括：1. 在pom.xml中添加jjwt-api、jjwt-impl、jjwt-jackson依赖；2. 利用Jwts.builder()生成带用户ID、过期时间的Token，并用密钥签名；3. 客户端将Token存入Authorization头，格式为Bearer+空格+Token；4. 服务器通过JWTUtil.validateToken()校验签名和过期时间，解析用户信息；5. 结合Filter在请求中自动验证Token，非法则返回401；6. 密钥应安全存储，避免硬编码；7. 过期时间建议15分钟至2小时，高安全场景配合RefreshToken机制；8. 防盗用可加入IP、User-Agent校验，并支持RefreshToken吊销。

Java中使用JWT（JSON Web Token）实现身份认证，简单来说，就是用一串加密的字符串来证明“你是谁”，而不用每次都去数据库验证用户名密码。这玩意儿就像你进门的通行证，服务器发给你，你带着，每次请求都出示一下，服务器一看，没问题，放行。

解决方案

要用JWT，你需要几个关键步骤：

1. 引入JWT库： 比如jjwt，在你的pom.xml（如果你用Maven）里加依赖：

   <dependency>
       <groupId>io.jsonwebtoken</groupId>
       <artifactId>jjwt-api</artifactId>
       <version>0.11.5</version>
   </dependency>
   <dependency>
       <groupId>io.jsonwebtoken</groupId>
       <artifactId>jjwt-impl</artifactId>
       <version>0.11.5</version>
       <scope>runtime</scope>
   </dependency>
   <dependency>
       <groupId>io.jsonwebtoken</groupId>
       <artifactId>jjwt-jackson</artifactId>
       <version>0.11.5</version>
       <scope>runtime</scope>
   </dependency>

2. 生成JWT： 当用户登录成功后，服务器生成一个JWT，包含用户的信息（比如用户ID、用户名），然后用密钥签名。

   import io.jsonwebtoken.Jwts;
   import io.jsonwebtoken.SignatureAlgorithm;
   import io.jsonwebtoken.security.Keys;
   
   import java.security.Key;
   import java.util.Date;
   
   public class JWTUtil {
   
       private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256); // 生产环境用更安全的密钥
   
       public static String generateToken(String userId) {
           return Jwts.builder()
                   .setSubject(userId) // 可以放用户ID，或者其他你需要的用户信息
                   .setIssuedAt(new Date())
                   .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间，这里是1小时
                   .signWith(SECRET_KEY)
                   .compact();
       }
   
       public static String getUserIdFromToken(String token) {
           return Jwts.parserBuilder()
                   .setSigningKey(SECRET_KEY)
                   .build()
                   .parseClaimsJws(token)
                   .getBody()
                   .getSubject();
       }
   
       public static boolean validateToken(String token) {
           try {
               Jwts.parserBuilder().setSigningKey(SECRET_KEY).build().parseClaimsJws(token);
               return true;
           } catch (Exception e) {
               // 这里可以根据不同的异常类型进行更细致的处理
               return false;
           }
       }
   
       public static void main(String[] args) {
           String userId = "user123";
           String token = generateToken(userId);
           System.out.println("Generated Token: " + token);
   
           String extractedUserId = getUserIdFromToken(token);
           System.out.println("User ID from Token: " + extractedUserId);
   
           boolean isValid = validateToken(token);
           System.out.println("Is Token Valid: " + isValid);
       }
   }

3. 返回JWT： 将生成的JWT返回给客户端（通常放在HTTP Header里，比如Authorization: Bearer ）。

4. 验证JWT： 客户端每次请求时，都带上JWT，服务器收到后，验证JWT的签名是否正确，是否过期。如果验证通过，就认为用户已经认证。

   // 示例：在Spring Security的Filter里验证JWT
   import org.springframework.web.filter.OncePerRequestFilter;
   
   import javax.servlet.FilterChain;
   import javax.servlet.ServletException;
   import javax.servlet.http.HttpServletRequest;
   import javax.servlet.http.HttpServletResponse;
   import java.io.IOException;
   
   public class JWTAuthenticationFilter extends OncePerRequestFilter {
   
       @Override
       protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
           String token = request.getHeader("Authorization");
   
           if (token != null && token.startsWith("Bearer ")) {
               token = token.substring(7); // 去掉 "Bearer " 前缀
               if (JWTUtil.validateToken(token)) {
                   String userId = JWTUtil.getUserIdFromToken(token);
                   // 这里可以根据userId去数据库查用户信息，然后设置到Spring Security的Context里
                   // 例如：
                   // UserDetails userDetails = userDetailsService.loadUserByUsername(userId);
                   // UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                   // authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                   // SecurityContextHolder.getContext().setAuthentication(authentication);
               } else {
                   // Token验证失败，可以返回错误信息
                   response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                   return;
               }
           }
   
           filterChain.doFilter(request, response);
       }
   }

5. 安全性： 密钥一定要保管好！泄露了就完蛋了。生产环境要用更安全的密钥生成方式，不要硬编码在代码里。

如何选择合适的JWT库？

选择JWT库，主要看这几个方面：安全性、性能、易用性、社区活跃度。jjwt 是一个比较流行的选择，因为它功能比较全，文档也比较完善。但也有其他的选择，比如Nimbus JOSE + JWT，各有优缺点，根据你的项目需求来。

JWT的过期时间应该设置多久？

过期时间是个权衡。太短了，用户频繁登录，体验不好；太长了，安全性降低，万一Token泄露，风险就大了。一般来说，15分钟到2小时比较常见。对于一些安全性要求高的场景，可以设置短一点，然后配合RefreshToken机制来延长会话。

如何处理JWT被盗用的情况？

JWT被盗用确实是个麻烦事。一个办法是引入RefreshToken机制。RefreshToken的过期时间更长，用来换取新的AccessToken。当AccessToken被盗用后，可以立即废弃RefreshToken，让盗用者无法继续获取新的AccessToken。另外，可以考虑在JWT里加入一些设备信息，比如IP地址、User-Agent，如果发现请求的设备信息和JWT里的不一致，就认为Token可能被盗用。

本篇关于《JWT身份认证教程：Java实现方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！