JWT

JWT（JSON Web Token）是一种用于在网络中传输安全信息的开放标准（RFC 7519）。它可以在各个服务之间安全地传递用户认证信息，因为它使用数字签名来验证信息的真实性和完整性。

JWT有三个部分，每个部分用点（.）分隔：

【资料图】

Header：通常包含JWT使用的签名算法和令牌类型。Payload：包含有关用户或其他主题的声明信息。声明是有关实体（通常是用户）和其他数据的JSON对象。声明被编码为JSON，然后使用Base64 URL编码。Signature：用于验证消息是否未被篡改并且来自预期的发送者。签名由使用Header中指定的算法和秘钥对Header和Payload进行加密产生。

在Spring Boot中，您可以使用Spring Security和jjwt库来实现JWT的认证和授权。下面是一个使用JWT的示例：

@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {    @Value("${jwt.secret}")    private String jwtSecret;    @Override    protected void configure(HttpSecurity http) throws Exception {        http.csrf().disable()            .authorizeRequests()            .antMatchers(HttpMethod.POST, "/api/authenticate").permitAll()            .anyRequest().authenticated()            .and()            .addFilter(new JwtAuthenticationFilter(authenticationManager(), jwtSecret))            .addFilter(new JwtAuthorizationFilter(authenticationManager(), jwtSecret))            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);    }    @Override    public void configure(AuthenticationManagerBuilder auth) throws Exception {        auth.authenticationProvider(new JwtAuthenticationProvider(jwtSecret));    }}

在上面的示例中，SecurityConfig类继承了WebSecurityConfigurerAdapter并使用了@EnableWebSecurity注解启用Spring Security。configure()方法使用HttpSecurity对象来配置HTTP请求的安全性。.csrf().disable()禁用了CSRF保护。.authorizeRequests()表示进行授权请求。.antMatchers(HttpMethod.POST, "/api/authenticate").permitAll()表示允许POST请求到/api/authenticate路径。.anyRequest().authenticated()表示要求所有其他请求都需要身份验证。.addFilter(new JwtAuthenticationFilter(authenticationManager(), jwtSecret))和.addFilter(new JwtAuthorizationFilter(authenticationManager(), jwtSecret))分别添加JWT认证和授权过滤器。.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)指定了会话管理策略。

configure()方法中还有一个configure(AuthenticationManagerBuilder auth)方法，它使用JwtAuthenticationProvider类配置身份验证。在这里，jwtSecret被注入到JwtAuthenticationProvider构造函数中，以便在认证过程中使用。

下面是JwtAuthenticationFilter和JwtAuthorizationFilter的实现：

public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter {    private final AuthenticationManager authenticationManager;    private final String jwtSecret;    public JwtAuthenticationFilter(AuthenticationManager authenticationManager, String jwtSecret) {        this.authenticationManager = authenticationManager;        this.jwtSecret = jwtSecret;        setFilterProcessesUrl("/api/authenticate");    }    @Override    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) {        try {            LoginRequest loginRequest = new ObjectMapper().readValue(request.getInputStream(), LoginRequest.class);            Authentication authentication = new UsernamePasswordAuthenticationToken(                    loginRequest.getUsername(),                    loginRequest.getPassword()            );            return authenticationManager.authenticate(authentication);        } catch (IOException e) {            throw new RuntimeException(e);        }    }    @Override    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) {        UserPrincipal userPrincipal = (UserPrincipal) authResult.getPrincipal();        String token = Jwts.builder()                .setSubject(userPrincipal.getUsername())                .setIssuedAt(new Date())                .setExpiration(new Date(System.currentTimeMillis() + 864000000))                .signWith(SignatureAlgorithm.HS512, jwtSecret)                .compact();        response.addHeader("Authorization", "Bearer " + token);    }}

JwtAuthenticationFilter类继承了UsernamePasswordAuthenticationFilter类，它用于处理基于用户名和密码的身份验证。它还使用AuthenticationManager来验证用户名和密码是否正确。jwtSecret在构造函数中被注入，用于生成JWT令牌。

在attemptAuthentication()方法中，LoginRequest对象被反序列化为从请求中获取的用户名和密码。这些值被封装到UsernamePasswordAuthenticationToken中，并传递给AuthenticationManager以验证用户身份。

在身份验证成功后，successfulAuthentication()方法被调用。在这里，UserPrincipal对象被从Authentication对象中获取，然后使用Jwts类生成JWT令牌。setSubject()方法将用户名设置为JWT主题。setIssuedAt()方法设置JWT令牌的发行时间。setExpiration()方法设置JWT令牌的到期时间。signWith()方法使用HS512算法和jwtSecret密钥对JWT令牌进行签名。最后，JWT令牌被添加到响应标头中。

下面是JwtAuthorizationFilter的实现：

public class JwtAuthorizationFilter extends BasicAuthenticationFilter {    private final String jwtSecret;    public JwtAuthorizationFilter(AuthenticationManager authenticationManager, String jwtSecret) {        super(authenticationManager);        this.jwtSecret = jwtSecret;    }    @Override    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {        String authorizationHeader = request.getHeader("Authorization");        if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {            chain.doFilter(request, response);            return;        }        String token = authorizationHeader.replace("Bearer ", "");        try {            Jws claimsJws = Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(token);            String username = claimsJws.getBody().getSubject();            List authorities = (List) claimsJws.getBody().get("authorities");            List grantedAuthorities = authorities.stream()                    .map(SimpleGrantedAuthority::new)                    .collect(Collectors.toList());            Authentication authentication = new UsernamePasswordAuthenticationToken(username, null, grantedAuthorities);            SecurityContextHolder.getContext().setAuthentication(authentication);            chain.doFilter(request, response);        } catch (JwtException e) {            response.setStatus(HttpStatus.UNAUTHORIZED.value());        }    }}

JwtAuthorizationFilter类继承了BasicAuthenticationFilter类，并覆盖了doFilterInternal()方法。在这个方法中，请求头中的Authorization标头被解析，如果它不是以Bearer开头，则直接传递给过滤器链。否则，从令牌中解析出主题（用户名）和授权信息，然后创建一个包含用户身份验证和授权信息的Authentication对象，并将其设置到SecurityContextHolder中。

如果JWT令牌无效，JwtException将被抛出，并返回HTTP 401未经授权的错误。

标签：

精彩推送

Spring Boot的安全配置（三）焦点快播

JWT（JSONWebToken）是一种用于在网络中传输安全信息的开放标准（RFC7519）。它可以在各个服务之间安全...

来源：腾讯云时间：2023-04-06 21:28:28
天涯明月刀17173礼包_天涯明月刀礼包大全
国资委主任张玉卓到中国电子华大九天调研

e公司讯，4月6日，国资委党委书记、主任张玉卓到中国电子信息产业集团有限公司所属华大九天调研，就中央...

来源：证券时报·e公司时间：2023-04-06 19:13:09
秦刚集体会见沙特外交大臣费萨尔、伊朗外长阿卜杜拉希扬
上海生育津贴2023年发放标准是多少？答案是这样的-全球球精选

上海生育津贴2023年发放标准是多少？答案是这样的下面跟社保网小编一起来看看具体详情吧。上海生育妇女...

来源：社保网时间：2023-04-06 17:10:22
今日热榜丨长影世纪城4月18日恢复开园运营热点聚焦
关注：拉什福德世界杯后联赛已打入11粒进球仅次于奥斯梅恩所打进12粒进球

北京时间4月6日凌晨，本赛季英超联赛第25轮补赛上演了一场精彩万分的强强对话。英超传统豪门球队“红...

来源：球天下时间：2023-04-06 14:37:38
世界微速讯：“运行7天，摆渡2.5万人次！” 市民点赞这条清明摆渡专线
焦点快播：2023年江苏常州自考准考证打印没有照片咋办？

【2023年更新】常州自考准考证电子照片要求(最新)常州自考准考证打印指南(2023年4月)准考证打印及使用注...

来源：本地宝时间：2023-04-06 12:21:06
编程猫连续5年发起蓝灯行动，用爱让孤独症孩子也能无障碍学习天天观焦点
当前消息！叶县农商银行：举行爱心捐助仪式

河南经济报记者杨磊通讯员赵娜叶县农商银行一名身患尿毒症的员工，因高额的医疗费用使其本不富裕的家庭...

来源：中原经济网时间：2023-04-06 10:36:11
世界消息！西乡农商银行开展“缅怀革命先烈传承红色精神”清明节祭扫活动
IR开始在小红书上募资了|全球热消息

如何寻找能出资且愿意出资的LP才是破局之道。

来源：36kr 时间：2023-04-06 09:03:36
车要交遗产税吗
新区举办第1期干部学习大讲堂动态

津滨海讯（记者范炳菲）4月4日，滨海新区第1期干部学习大讲堂在区委党校举行，天津财经大学马克思主义学...

来源：津滨海时间：2023-04-06 06:23:06
拜登又给中国送来“大礼”，让美国从撕裂，走向分裂|全球资讯
华南地区10条河流发生超警洪水天天速读

水利部5日发布汛情通报，受强降雨影响，华南地区10条河流发生超警洪水，水利部门正全力做好洪水防御工作...

来源：新华社时间：2023-04-05 22:07:41
《龙族》：最不希望死去的角色，因为她，我的世界容不下奥特曼天天热讯
环球快看点丨急诊室内，抢救、诊疗、手术、观察等功能集成化！这家医院打造“最通畅”的创伤救治绿色通道

抢救、诊疗、手术、观察等功能集成化的空间，大幅缩短患者在不同功能区域转运的时间；独立化的创伤中心...

来源：周到上海时间：2023-04-05 18:58:20
酒店承认在福建一高校招KTV公主：确有该职位
天天速读：如何才能更好地实现数据更好地备份？西部数据在世界备份日给你新解答

如何才能更好地实现数据更好地备份？西部数据在世界备份日给你新解答

来源：永州新闻网时间：2023-04-05 15:42:33
世界聚焦：不愤怒的小鸟游戏_不愤怒的小鸟2
《生化4》大卖之后你最希望哪款游戏推出重制版|当前看点

重制复刻版的舆论环境向来不算好，“炒冷饭”标签怎么看也不像褒义。当然，玩家们期待创新和改变无可厚非

来源：游侠网时间：2023-04-05 12:17:47
天天视点！明媚春日，播撒塔河岸边一片法治阳光
短讯！西亚卡姆22分14篮板，猛龙轻取黄蜂

猛龙客场120-110大胜黄蜂。黄蜂早已无缘季后赛，众多核心缺阵。马勒东、米哈伊柳克、理查兹的发挥帮助黄...

来源：手机网易网时间：2023-04-05 09:26:01
专升本环境工程学什么_环境工程学什么
交易员押注美联储不会在5月加息，并将在夏季开始降息全球头条

在周二公布的数据显示美国2月职位空缺降至近两年来的最低水平后，市场预计美联储已经结束了加息周期，并...

来源：第一财经时间：2023-04-05 06:27:54
俄乌和谈要来了？德法一唱一和，联手对乌方施压，俄提出谈判条件|当前焦点
世界热文：格子哥_关于格子哥简述

1、一段名为“对靓颖新专辑《我相信》的终极致敬”的视频在网上传得沸沸扬扬，视频的内容是一位身穿黑白...

来源：互联网时间：2023-04-04 22:51:43
奶花豆正宗做法(自制奶豆怎么做好吃)
怀远县气象局发布大风蓝色预警【IV级/一般】

怀远县气象局发布大风蓝色预警【IV级一般】

来源：二三里资讯时间：2023-04-04 20:22:54
绿色金融白皮书：既要清洁发展，又要能源安全，还要经济可行
HKC推出MG25H新显示器：24.5英寸1080p 360Hz

HKC现已推出新款MG25H显示器，24 5英寸1080p360Hz规格，售价2999元。参数方面，这款显示器采用了24 5英寸的FAST

来源：IT之家时间：2023-04-04 18:09:58
哈士奇怎么训练上厕所（哈士奇怎么训练）
上海申花没有发生奇迹以一场失利的方式无缘亚冠淘汰赛世界视讯

来源：搜狐体育网1-4!上海申花没有发生奇迹，以一场失利的方式无缘亚冠淘汰赛，目送东京FC携手蔚山现代...

来源：互联网时间：2023-04-04 16:22:40
贵宾犬多少钱一只白色最便宜_贵宾犬多少钱一只-要闻
热文：浙江嘉兴：织就一张“收废品但不见废品”的便民回收网

浙江嘉兴：织就一张“收废品但不见废品”的便民回收网

来源：中国网时间：2023-04-04 14:50:35
当前热点-英雄之光丨于无声处
筷子的精神象征意义（筷子的精神含义）

1、筷子一头圆、一头方。圆的象征天，方的象征地，对应天圆地方。这是中国人对世界基本原则的理解。2、...

来源：互联网时间：2023-04-04 12:33:35
怎么把Excel表格导入Word？Word文档怎么压缩图片？
全球聚焦：人民币市场汇价（4月4日）

新华社北京4月4日电　中国外汇交易中心4月4日受权公布人民币对美元、欧元、日元、港元、英镑、澳元、新...

来源：新华网时间：2023-04-04 11:11:47
【当前独家】欧洲外交官：西方不急于揪出北溪爆炸真凶宁愿假装看不见
坚决做到封住山看住人管住火-世界速讯

本报3日讯（记者狄婕）3日晚，省森林草原防灭火指挥部召开视频调度会议，贯彻落实全国、全省春季森林草原

来源：黑龙江日报时间：2023-04-04 09:23:44
新资讯：多空拉锯博弈激烈小摩称一季度可能是今年美股的顶点
商务部：消费市场呈现稳步恢复态势下一阶段促消费聚焦四方面天天热门

4月份是绿色消费季，后面还有国际消费季、暑期消费季、金秋购物节等。北京、天津、河北联手举办京津冀消...

来源：证券日报时间：2023-04-04 07:46:46
资讯推荐:三利好助A股四月开门红 “小阳春”行情值得期待
详细记录我的爱丽舍各档转速+车速油耗|全球观焦点

09年春节,我是带着华版以及多位车友交办的油耗测试任务中度过的。现交作业如下，欢迎大家交流、探讨。测...

来源：互联网时间：2023-04-04 03:18:01
单量增长5倍！平台Top鞋服卖家的成长之路
热门：清明踏青去哪里？长沙县万株牡丹绽放等你来打卡

长沙晚报掌上长沙4月3日讯（全媒体记者宁霞通讯员嵇田利）近日，由长沙县文化旅游广电体育局、长沙县路...

来源：长沙晚报掌上长沙时间：2023-04-03 21:34:43
焦点速讯：面膜能不能贴一晚上?

X 关闭

电视剧

白百何又“白复出”了？黄轩白百何新剧《欢迎光临》收视表现平平 2022-05-23

X 关闭

电影

热播

《欢迎来到蘑菇屋》：六个“过气艺人”翻红成“再就业男团” 2022-05-23

爱奇艺发布年度电影片单兼顾动作青春爱情等多类型 2022-05-23