当前位置：首页 > 文章列表 > 文章 > java教程 > JWT登录认证与鉴权实现教程

JWT登录认证与鉴权实现教程

2025-12-17 15:06:54 0浏览收藏

推广推荐

支持 PC / 移动端，安全直达

对于一个文章开发者来说，牢固扎实的基础是十分重要的，golang学习网就来带大家一点点的掌握基础知识点。今天本篇文章带大家了解《Java实现JWT登录认证与鉴权教程》，主要介绍了，希望对大家的知识积累有所帮助，快点收藏起来吧，否则需要时就找不到了！

Java中使用JJWT库生成和解析JWT，实现无状态认证。1. 添加jjwt-api、jjwt-impl、jjwt-jackson依赖；2. 调用Jwts.builder()设置subject、签发时间、过期时间，使用HS512算法和密钥生成Token；3. 通过Jwts.parser()解析Token，捕获ExpiredJwtException处理过期，获取Claims主体信息；4. 在Spring Boot中结合过滤器校验Authorization头，提取用户名并设置安全上下文，实现自动鉴权与权限控制。

java怎么生成和解析JWT 通过JWT实现用户登录认证与鉴权

Java中生成和解析JWT（JSON Web Token）通常使用开源库如 jjwt，它是目前最流行的JWT实现之一。通过JWT可以实现无状态的用户登录认证与权限控制，适合前后端分离或微服务架构。

1. 添加JJWT依赖

在Maven项目中引入JJWT相关依赖：

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

2. 生成JWT令牌

用户登录成功后，服务器生成JWT返回给客户端。以下是一个生成Token的示例：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtUtil {

    private static final String SECRET_KEY = "your-secret-key-must-be-long-and-secure";
    private static final long EXPIRATION_TIME = 86400000; // 24小时

    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }
}

该方法将用户名作为主体（subject），设置签发时间、过期时间，并使用HS512算法和密钥签名。

3. 解析和验证JWT

每次请求携带Token时，服务端需解析并验证其有效性：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;

public class JwtUtil {

    // ... 上面的generateToken方法

    public static Claims parseToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException e) {
            System.out.println("Token已过期");
        } catch (Exception e) {
            System.out.println("无效Token");
        }
        return null;
    }

    public static String getUsernameFromToken(String token) {
        Claims claims = parseToken(token);
        return claims != null ? claims.getSubject() : null;
    }
}

解析失败可能是Token过期或被篡改，应返回null或抛出异常。

4. 在Spring Boot中集成JWT实现登录认证

实际项目中，通常结合拦截器或过滤器实现自动鉴权：

登录接口：验证用户名密码，成功后调用generateToken返回Token
过滤器：检查请求头中的Authorization字段（如：Bearer xxxxx），提取Token并验证
权限控制：从Token中获取用户名，查询角色信息进行权限判断

示例过滤器片段：

@Override
protected void doFilterInternal(HttpServletRequest request,
                                HttpServletResponse response,
                                FilterChain chain) throws IOException, ServletException {
    String header = request.getHeader("Authorization");
    if (header != null && header.startsWith("Bearer ")) {
        String token = header.substring(7);
        String username = JwtUtil.getUsernameFromToken(token);
        if (username != null) {
            // 设置安全上下文
            UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
                username, null, Collections.emptyList());
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
    }
    chain.doFilter(request, response);
}

基本上就这些。使用JWT可以避免服务端存储Session，提升系统可扩展性，但要注意Token一旦签发无法主动失效，建议设置合理有效期，配合Redis实现登出或强制下线功能。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~

java jwt