1. 什么是 JWT

JWT(JSON Web Token)是一种用于认证和授权的开放标准(RFC 7519)。它使用 JSON 对象作为令牌的安全传输机制,可用于验证身份信息和授予访问权限。JWT 由三个部分组成:头部、载荷和签名。头部包含令牌的加密算法和类型信息;载荷中包含相关的用户信息和权限等;签名是利用密钥对头部和载荷进行加密算法生成的一串字符串。

2. Spring Boot 中使用 JWT

在 Spring Boot 中使用 JWT 进行身份和权限验证,通常需要实现自定义的认证过滤器和授权拦截器。

首先,创建一个自定义的 JWT 工具类,用于生成和解析 JWT。


public class JwtUtils {
    private static final String SECRET_KEY = "your-secret-key"; // 用于签名的密钥
    private static final long EXPIRATION_TIME = 86400000; // 令牌的有效期(单位:毫秒)

    // 生成JWT
    public static String generateToken(String username, List roles) {
        Date now = new Date();
        Date expirationTime = new Date(now.getTime() + EXPIRATION_TIME);
        String token = Jwts.builder()
                .setSubject(username)
                .claim("roles", roles)
                .setIssuedAt(now)
                .setExpiration(expirationTime)
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
        return token;
    }

    // 解析JWT
    public static Claims parseToken(String token) {
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
        return claims;
    }
}
Java

3. 实现认证过滤器

在 Spring Boot 中使用 JWT 进行身份验证的第一步是实现自定义的认证过滤器,该过滤器会在每个请求到达控制器之前进行身份验证。

可以通过继承 OncePerRequestFilter 抽象类实现自定义的认证过滤器,并在 doFilterInternal 方法中进行 JWT 的验证。


public class JwtAuthenticationFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 获取请求头中的Authorization字段
        String authorizationHeader = request.getHeader("Authorization");
        if(authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            try {
                String jwtToken = authorizationHeader.substring(7);
                Claims claims = JwtUtils.parseToken(jwtToken);
                // 将认证信息存储到SecurityContextHolder中
                SecurityContextHolder.getContext().setAuthentication(new JwtAuthenticationToken(claims));
            } catch (Exception e) {
                response.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage());
                return;
            }
        }
        filterChain.doFilter(request, response);
    }
}
Java

4. 实现授权拦截器

实现 JWT 的授权拦截器,用于对用户的权限进行验证,只有拥有特定权限的用户才能访问受限资源。

可以通过继承 HandlerInterceptor 接口实现自定义的授权拦截器,并在 preHandle 方法中判断用户是否拥有权限。


public class JwtAuthorizationInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取认证信息
        JwtAuthenticationToken authentication = (JwtAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
        Claims claims = authentication.getCredentials();
        // 判断用户是否拥有特定权限
        if (!claims.get("roles", List.class).contains("admin")) {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "权限不足");
            return false;
        }
        return true;
    }
}
Java

通过实现自定义的认证过滤器和授权拦截器,能够很方便地在 Spring Boot 应用中使用 JWT 进行身份和权限验证。在过滤器中解析 JWT 令牌,并将认证信息存储到 SecurityContextHolder 中;在拦截器中判断用户是否拥有特定权限。这样,只需要在需要进行身份和权限验证的接口上加上相应的过滤器和拦截器即可。