当前位置：首页 > news >正文

SpringBoot之JWT登录

news 2026/2/7 12:42:18

JWT

JSON Web Token（JSON Web令牌）

是一个开放标准(rfc7519)，它定义了一种紧凑的、自包含的方式，用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任，因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法）或使用RSA或ECDSA的公钥/私钥对进行签名。

通过JSON形式作为Web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

JWT登录流程

在这里插入图片描述
使用了JWT技术

流程：

1.前端通过表单的方式将用户的登录信息发送到后端

2.后端对登录的信息进行检验，合法的话生成JWT并与结果一起返回给前端

3.前端接收到返回结果进行响应并将JWT保存，前端可以将返回的结果保存在localStorage（浏览器本地缓存）或sessionStorage（session缓存）上，退出登录时前端删除保存的JWT即可

4.后续前端每次请求携带JWT进行，后端检查JWT 的合法性存在验证JWT的有效性。例如，检查签名是否正确﹔检查Token是否过期;检查Token的接收方是否是自己

5.验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作，返回相应结果。

使用练习

1.引入依赖

<!--引入JWT-->
<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.10.0</version>
</dependency>

2.登录成功后，生成jwt令牌

  Map<String, Object> claims = new HashMap<>();claims.put(JwtClaimsConstant.EMP_ID, employee.getId());String token = JwtUtil.createJWT(jwtProperties.getAdminSecretKey(),jwtProperties.getAdminTtl(),claims);

3.在拦截器中配置token解析

//1、从请求头中获取令牌String token = request.getHeader(jwtProperties.getAdminTokenName());//2、校验令牌try {log.info("jwt校验:{}", token);Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());log.info("当前员工id：{}", empId);BaseContext.setCurrentId(empId);//3、通过，放行return true;} catch (Exception ex) {//4、不通过，响应401状态码response.setStatus(401);return false;}

4.封装JWT使用工具类（生成token和解密token）

  /*** 生成jwt* 使用Hs256算法, 私匙使用固定秘钥** @param secretKey jwt秘钥* @param ttlMillis jwt过期时间(毫秒)* @param claims    设置的信息* @return*/public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {// 指定签名的时候使用的签名算法，也就是header那部分SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;// 生成JWT的时间long expMillis = System.currentTimeMillis() + ttlMillis;Date exp = new Date(expMillis);// 设置jwt的bodyJwtBuilder builder = Jwts.builder()// 如果有私有声明，一定要先设置这个自己创建的私有的声明，这个是给builder的claim赋值，一旦写在标准的声明赋值之后，就是覆盖了那些标准的声明的.setClaims(claims)// 设置签名使用的签名算法和签名使用的秘钥.signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))// 设置过期时间.setExpiration(exp);return builder.compact();}/*** Token解密** @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个* @param token     加密后的token* @return*/public static Claims parseJWT(String secretKey, String token) {// 得到DefaultJwtParserClaims claims = Jwts.parser()// 设置签名的秘钥.setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))// 设置需要解析的jwt.parseClaimsJws(token).getBody();return claims;}

SpringBoot之JWT登录

JWT

JWT登录流程

使用练习

相关文章：

SpringBoot之JWT登录

【备战蓝桥杯】——循环结构

【数据分享】1929-2023年全球站点的逐年平均气温数据（Shp\Excel\免费获取）

探索Pyecharts关系图绘制技巧：炫酷效果与创意呈现【第42篇—python：Pyecharts水球图】

蓝桥杯-循环节长度

Jython调用openwire库连接activemq转发topic订阅消息到另一个activemq 服务器上完整代码

面试经典题---30.串联所有单词的子串

字符串随机生成工具(开源)-Kimen(奇门)

UE4 CustomDepthMobile流程小记

Docker 基础篇

Idea上操作Git回退本地版本，怎么样保留已修改的文件，回退本地版本的四种方式代表什么?

vue3封装el-pagination分页组件

负载均衡下Webshell连接思路及难点

基于链表实现贪吃蛇游戏

Python网络爬虫实战——实验6：Python实现js逆向与加解密

【python】使用aiohttp库编写一个简单的异步服务器

新手使用代理IP接入代码教程

JVM问题排查手册

前端canvas项目实战——简历制作网站(三)——右侧属性栏(线条宽度样式)

字节跳动二面经典题目

浏览器访问 AWS ECS 上部署的 Docker 容器（监听 80 端口）

云原生核心技术 (7/12): K8s 核心概念白话解读(上)：Pod 和 Deployment 究竟是什么？

synchronized 学习

黑马Mybatis

无法与IP建立连接，未能下载VSCode服务器

linux 下常用变更-8

Python如何给视频添加音频和字幕

HTML前端开发：JavaScript 常用事件详解

QT： `long long` 类型转换为 `QString` 2025.6.5

pikachu靶场通关笔记22-1 SQL注入05-1-insert注入(报错法)