三大门户网站安徽建站优化
在现代 Web 应用中,用户认证和授权是保障系统安全的核心环节。传统的 Session 认证方式在分布式系统或前后端分离场景下存在局限,而 JWT(JSON Web Token)作为一种无状态的认证机制,凭借其轻量、可扩展和跨服务的特性,成为主流选择。Spring Boot 3.4.3 结合 Spring Security 6.4.2 和 JWT,可以实现高效、安全的用户登录认证。本文将详细介绍如何在 Spring Boot 3.4.3 中集成 Spring Security 和 JWT,实现用户登录功能,并附上完整代码示例,助你在2025年的项目中快速落地认证方案。
1. JWT 和 Spring Security 简介
1.1 什么是 JWT?
JWT 是一种基于 JSON 的开放标准(RFC 7519),用于在各方之间安全传输信息。它由三部分组成:Header(头)、Payload(负载)和 Signature(签名),通过.分隔。JWT 的无状态特性使其非常适合分布式系统。
1.2 Spring Security 的作用
Spring Security 是 Spring 生态中的安全框架,提供认证、授权和防护功能。Spring Security 6.4.2 支持 Lambda 风格的配置,与 Spring Boot 3.4.3 无缝集成。
1.3 本文目标
- 配置 Spring Security 和 JWT。
- 实现用户登录并生成 Token。
- 验证 Token 并保护接口。
2. 项目实战
以下是基于 Spring Boot 3.4.3 和 Spring Security 6.4.2 结合 JWT 实现用户登录的完整步骤。
2.1 添加 Maven 依赖
在 pom.xml 中添加必要的依赖:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>3.4.3</version></parent><groupId>cn.itbeien</groupId><artifactId>springboot-jwt</artifactId><properties><maven.compiler.source>17</maven.compiler.source><maven.compiler.target>17</maven.compiler.target><project.build.sourceEncoding>UTF-8</project.build.sourceEncoding></properties><dependencies><!-- Spring Boot Web --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!-- Spring Security --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><!-- JWT --><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-api</artifactId><version>0.12.5</version></dependency><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-impl</artifactId><version>0.12.5</version></dependency><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-jackson</artifactId><version>0.12.5</version></dependency></dependencies>
</project>
说明:
spring-boot-starter-security:提供 Spring Security 支持。jjwt-*:JWT 的核心库。
2.2 配置 JWT 工具类
创建一个工具类生成和验证 JWT:
package cn.itbeien.util;import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;import javax.crypto.SecretKey;
import java.util.Date;public class JwtUtil {private static final String SECRET_KEY = "your-256-bit-secret-key-here-1234567890"; // 至少 256 位private static final long EXPIRATION_TIME = 1000 * 60 * 60; // 1小时private static SecretKey getSecretKey() {return Keys.hmacShaKeyFor(SECRET_KEY.getBytes());}public static String generateToken(String username) {return Jwts.builder().subject(username).issuedAt(new Date()).expiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)).signWith(getSecretKey()).compact();}public static String getUsernameFromToken(String token) {Claims claims = Jwts.parser().verifyWith(getSecretKey()).build().parseSignedClaims(token).getPayload();return claims.getSubject();}public static boolean validateToken(String token) {try {Jwts.parser().verifyWith(getSecretKey()).build().parseSignedClaims(token);return true;} catch (Exception e) {return false;}}
}
说明:
SECRET_KEY:用于签名,需足够长且安全。generateToken:生成 JWT。getUsernameFromToken和validateToken:解析和验证 Token。
2.3 配置 Spring Security
创建一个 Security 配置类:
package cn.itbeien.config;import cn.itbeien.filter.JwtAuthenticationFilter;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;@Configuration
@EnableWebSecurity
public class SecurityConfig {@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.csrf(csrf -> csrf.disable()) // 禁用 CSRF.sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) // 无状态.authorizeHttpRequests(auth -> auth.requestMatchers("/api/login").permitAll() // 登录接口公开.anyRequest().authenticated() // 其他请求需认证).addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); // 添加 JWT 过滤器return http.build();}
}
2.4 创建 JWT 过滤器
实现 Token 验证逻辑:
package cn.itbeien.filter;import cn.itbeien.util.JwtUtil;
import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.filter.OncePerRequestFilter;import java.io.IOException;public class JwtAuthenticationFilter extends OncePerRequestFilter {@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)throws ServletException, IOException {String header = request.getHeader("Authorization");if (header != null && header.startsWith("Bearer ")) {String token = header.substring(7);if (JwtUtil.validateToken(token)) {String username = JwtUtil.getUsernameFromToken(token);UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(username, null, null);SecurityContextHolder.getContext().setAuthentication(auth);}}chain.doFilter(request, response);}
}
2.5 创建用户服务
模拟用户认证逻辑:
package cn.itbeien.service;import org.springframework.stereotype.Service;@Service
public class UserService {public boolean authenticate(String username, String password) {// 模拟数据库验证return "admin".equals(username) && "123456".equals(password);}
}
2.6 创建登录控制器
实现登录并返回 JWT:
package cn.itbeien.controller;import cn.itbeien.service.UserService;
import cn.itbeien.util.JwtUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;@RestController
@RequestMapping("/api")
public class LoginController {@Autowiredprivate UserService userService;@PostMapping("/login")public ResponseEntity<String> login(@RequestParam String username, @RequestParam String password) {if (userService.authenticate(username, password)) {String token = JwtUtil.generateToken(username);return ResponseEntity.ok(token);}return ResponseEntity.status(401).body("登录失败");}@PostMapping("/protected")public String protectedEndpoint() {return "这是一个受保护的接口";}
}
2.7 启动与测试
- 启动 Spring Boot 应用。
- 测试登录:
POST http://localhost:8080/api/login?username=admin&password=123456- 成功返回 JWT Token。
- 测试受保护接口:
- 请求
POST http://localhost:8080/api/protected,Header 中添加Authorization: Bearer <token>。 - 未携带 Token 或 Token 无效,返回 403。
- 请求
3. 进阶功能(可选)
-
自定义权限
为用户添加角色:List<SimpleGrantedAuthority> authorities = List.of(new SimpleGrantedAuthority("ROLE_USER")); UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(username, null, authorities); -
Token 刷新
添加刷新 Token 接口:@PostMapping("/refresh") public ResponseEntity<String> refreshToken(@RequestHeader("Authorization") String token) {if (JwtUtil.validateToken(token)) {String username = JwtUtil.getUsernameFromToken(token);return ResponseEntity.ok(JwtUtil.generateToken(username));}return ResponseEntity.status(401).body("无效 Token"); } -
数据库集成
使用 MySQL 存储用户信息(结合 MyBatis 或 JPA)。
4. 总结
Spring Boot 3.4.3 和 Spring Security 6.4.2 结合 JWT,提供了一种现代化、无状态的用户认证方案。本文从依赖配置到登录实现,覆盖了核心步骤。