Java如何实现JWT认证？Token生成验证全流程

jwt在java项目中用于无状态认证，实现流程包括生成token和验证token。1. 引入jjwt依赖库；2. 使用jwts.builder()生成token并设置签名算法、有效期等；3. 通过jwts.parser()解析token并处理异常；4. 在spring boot中登录后返回token，拦截请求header中的token进行验证，解析后将用户信息放入security上下文中，确保安全性与扩展性需关注签名强度、刷新机制及黑名单管理。

JWT（JSON Web Token）在Java项目中常用于无状态的认证机制。它的核心是通过签名保证数据的安全性，并且不依赖服务器保存会话信息，适合分布式系统使用。

实现JWT认证主要分为两部分：生成Token和验证Token。下面从实际开发角度出发，分几个关键步骤来说明如何用Java完成整个流程。

1. 引入依赖库

Java生态中有多个支持JWT的库，最常用的是 jjwt 和 auth0-java-jwt。这里以 jjwt 为例，因为它封装得比较好，API也更简洁。

立即学习“Java免费学习笔记（深入）”；

如果你用 Maven 管理项目，添加如下依赖：

    io.jsonwebtoken
    jjwt-api
    0.11.5


    io.jsonwebtoken
    jjwt-impl
    0.11.5


    io.jsonwebtoken
    jjwt-jackson
    0.11.5

Gradle 用户可以这样加：

implementation 'io.jsonwebtoken:jjwt-api:0.11.5'
implementation 'io.jsonwebtoken:jjwt-impl:0.11.5'
implementation 'io.jsonwebtoken:jjwt-jackson:0.11.5'

2. 生成 JWT Token

生成 Token 的过程包括设置签发者、过期时间、负载内容以及签名算法等。

一个典型的生成方法如下：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtUtil {

    private static final String SECRET_KEY = "your-secret-key";
    private static final long EXPIRATION = 86400000; // 24小时

    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }
}

几点说明：

• SECRET_KEY 是签名密钥，一定要保密，建议配置在环境变量或配置中心。
• EXPIRATION 表示Token的有效期，可以根据业务需求调整。
• 使用了 HS512 算法进行签名，也可以换成其他如 RS256，但需要配合非对称密钥使用。

3. 验证并解析 Token

验证Token的过程就是检查签名是否合法、是否过期，同时提取出其中的信息。

IBM Watson

IBM Watson文字转语音

下载

示例代码如下：

public static String parseToken(String token) {
    return Jwts.parser()
            .setSigningKey(SECRET_KEY)
            .parseClaimsJws(token)
            .getBody()
            .getSubject();
}

这个方法会返回Token中的用户名（subject），如果Token无效（比如被篡改或已过期），会抛出异常，因此调用时需要捕获处理。

常见错误类型包括：

• JwtException：所有JWT异常的基类
• JwtExpiredException：Token已过期
• SignatureException：签名不匹配

所以在拦截器或过滤器中使用时，要合理捕获这些异常并返回合适的HTTP响应码。

4. 在Spring Boot中集成JWT

如果你是在Spring Boot项目中使用JWT，通常会在登录接口生成Token，并通过拦截器验证请求头中的Token。

大致流程如下：

• 用户登录成功后，返回生成的Token；
• 前端后续请求在Header中携带该Token；
• 拦截器读取Header中的Token并验证；
• 验证通过则放行，否则返回401未授权。

实现要点：

• 自定义一个Filter继承 OncePerRequestFilter
• 在 doFilterInternal 方法中获取Token并解析
• 将用户信息放入Security上下文中（可选）

这部分涉及到Spring Security的知识，可以根据项目实际情况灵活调整。

基本上就这些。JWT本身结构简单，但在实际应用中需要注意安全性和扩展性，比如签名强度、Token刷新机制、黑名单管理等。这些细节容易忽略，但在生产环境中不可忽视。