JWT

JWT（JSON Web Token）是一种用于在网络中传输安全信息的开放标准（RFC 7519）。它可以在各个服务之间安全地传递用户认证信息，因为它使用数字签名来验证信息的真实性和完整性。

(资料图片仅供参考)

JWT有三个部分，每个部分用点（.）分隔：

Header：通常包含JWT使用的签名算法和令牌类型。Payload：包含有关用户或其他主题的声明信息。声明是有关实体（通常是用户）和其他数据的JSON对象。声明被编码为JSON，然后使用Base64 URL编码。Signature：用于验证消息是否未被篡改并且来自预期的发送者。签名由使用Header中指定的算法和秘钥对Header和Payload进行加密产生。

在Spring Boot中，您可以使用Spring Security和jjwt库来实现JWT的认证和授权。下面是一个使用JWT的示例：

@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {    @Value("${jwt.secret}")    private String jwtSecret;    @Override    protected void configure(HttpSecurity http) throws Exception {        http.csrf().disable()            .authorizeRequests()            .antMatchers(HttpMethod.POST, "/api/authenticate").permitAll()            .anyRequest().authenticated()            .and()            .addFilter(new JwtAuthenticationFilter(authenticationManager(), jwtSecret))            .addFilter(new JwtAuthorizationFilter(authenticationManager(), jwtSecret))            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);    }    @Override    public void configure(AuthenticationManagerBuilder auth) throws Exception {        auth.authenticationProvider(new JwtAuthenticationProvider(jwtSecret));    }}

在上面的示例中，SecurityConfig类继承了WebSecurityConfigurerAdapter并使用了@EnableWebSecurity注解启用Spring Security。configure()方法使用HttpSecurity对象来配置HTTP请求的安全性。.csrf().disable()禁用了CSRF保护。.authorizeRequests()表示进行授权请求。.antMatchers(HttpMethod.POST, "/api/authenticate").permitAll()表示允许POST请求到/api/authenticate路径。.anyRequest().authenticated()表示要求所有其他请求都需要身份验证。.addFilter(new JwtAuthenticationFilter(authenticationManager(), jwtSecret))和.addFilter(new JwtAuthorizationFilter(authenticationManager(), jwtSecret))分别添加JWT认证和授权过滤器。.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)指定了会话管理策略。

configure()方法中还有一个configure(AuthenticationManagerBuilder auth)方法，它使用JwtAuthenticationProvider类配置身份验证。在这里，jwtSecret被注入到JwtAuthenticationProvider构造函数中，以便在认证过程中使用。

下面是JwtAuthenticationFilter和JwtAuthorizationFilter的实现：

public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter {    private final AuthenticationManager authenticationManager;    private final String jwtSecret;    public JwtAuthenticationFilter(AuthenticationManager authenticationManager, String jwtSecret) {        this.authenticationManager = authenticationManager;        this.jwtSecret = jwtSecret;        setFilterProcessesUrl("/api/authenticate");    }    @Override    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) {        try {            LoginRequest loginRequest = new ObjectMapper().readValue(request.getInputStream(), LoginRequest.class);            Authentication authentication = new UsernamePasswordAuthenticationToken(                    loginRequest.getUsername(),                    loginRequest.getPassword()            );            return authenticationManager.authenticate(authentication);        } catch (IOException e) {            throw new RuntimeException(e);        }    }    @Override    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) {        UserPrincipal userPrincipal = (UserPrincipal) authResult.getPrincipal();        String token = Jwts.builder()                .setSubject(userPrincipal.getUsername())                .setIssuedAt(new Date())                .setExpiration(new Date(System.currentTimeMillis() + 864000000))                .signWith(SignatureAlgorithm.HS512, jwtSecret)                .compact();        response.addHeader("Authorization", "Bearer " + token);    }}

JwtAuthenticationFilter类继承了UsernamePasswordAuthenticationFilter类，它用于处理基于用户名和密码的身份验证。它还使用AuthenticationManager来验证用户名和密码是否正确。jwtSecret在构造函数中被注入，用于生成JWT令牌。

在attemptAuthentication()方法中，LoginRequest对象被反序列化为从请求中获取的用户名和密码。这些值被封装到UsernamePasswordAuthenticationToken中，并传递给AuthenticationManager以验证用户身份。

在身份验证成功后，successfulAuthentication()方法被调用。在这里，UserPrincipal对象被从Authentication对象中获取，然后使用Jwts类生成JWT令牌。setSubject()方法将用户名设置为JWT主题。setIssuedAt()方法设置JWT令牌的发行时间。setExpiration()方法设置JWT令牌的到期时间。signWith()方法使用HS512算法和jwtSecret密钥对JWT令牌进行签名。最后，JWT令牌被添加到响应标头中。

下面是JwtAuthorizationFilter的实现：

public class JwtAuthorizationFilter extends BasicAuthenticationFilter {    private final String jwtSecret;    public JwtAuthorizationFilter(AuthenticationManager authenticationManager, String jwtSecret) {        super(authenticationManager);        this.jwtSecret = jwtSecret;    }    @Override    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {        String authorizationHeader = request.getHeader("Authorization");        if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {            chain.doFilter(request, response);            return;        }        String token = authorizationHeader.replace("Bearer ", "");        try {            Jws claimsJws = Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(token);            String username = claimsJws.getBody().getSubject();            List authorities = (List) claimsJws.getBody().get("authorities");            List grantedAuthorities = authorities.stream()                    .map(SimpleGrantedAuthority::new)                    .collect(Collectors.toList());            Authentication authentication = new UsernamePasswordAuthenticationToken(username, null, grantedAuthorities);            SecurityContextHolder.getContext().setAuthentication(authentication);            chain.doFilter(request, response);        } catch (JwtException e) {            response.setStatus(HttpStatus.UNAUTHORIZED.value());        }    }}

JwtAuthorizationFilter类继承了BasicAuthenticationFilter类，并覆盖了doFilterInternal()方法。在这个方法中，请求头中的Authorization标头被解析，如果它不是以Bearer开头，则直接传递给过滤器链。否则，从令牌中解析出主题（用户名）和授权信息，然后创建一个包含用户身份验证和授权信息的Authentication对象，并将其设置到SecurityContextHolder中。

如果JWT令牌无效，JwtException将被抛出，并返回HTTP 401未经授权的错误。

标签：

精彩推送

浙商证券：半导体设备行业三重周期共振设备厂商深度受益观点

智通财经获悉，浙商证券发布研究报告称，半导体设备是整个半导体产业链的基石，当下时点库存周期拐点将...

来源：智通财经时间：2023-04-06 12:02:48
王锦鸿_关于王锦鸿介绍|天天新资讯
马英九大陆祭祖参访蔡英文“过境”洛杉矶全球快播报

01:331万公里外，蔡英文刚刚结束对中美洲两国的 "窜访 "，又再次 "过境 "美国。从纽约到洛杉矶，迎...

来源：看看新闻Knews 时间：2023-04-06 10:17:32
环球今头条！两市融资余额合计15242.92亿元增加14.83亿元
A股4月迎2400亿元解禁沪硅产业、一汽解放解禁规模居前时讯

2023年4月，A股有153家公司的限售股面临解禁，合计解禁量约为116 88亿股，解禁市值超2400亿元。其中，...

来源：面包财经时间：2023-04-06 08:50:45
法问｜病弱老人旅行时受伤旅行社是否要担责
凊字组词_凊

1、凊qìng凉。2、清凉。3、寒冷。4、樫jiān一种鸟，形似乌鸦。5、騨驒（騨的单上多一点，驒是个日本汉

来源：互联网时间：2023-04-06 05:46:28
今头条！第28个陷阱_第28个馅饼阅读理解及答案
北京美食攻略_西单美食攻略-今日精选

1、　　美食，顾名思义就是美味的食物，贵的有山珍海味，便宜的有街边小吃。下面跟着小编来看看西单美食...

来源：互联网时间：2023-04-05 21:56:32
天天快资讯丨阵风7级到9级！洛阳市气象台发布最新天气预报
环球焦点！恩比德：我从一开场就想打出侵略性很幸运投篮一直都能进

76人今日103-101力克凯尔特人，赛后，本场砍下52分的76人球星恩比德接受了媒体采访。“从一开场，我就想...

来源：直播吧时间：2023-04-05 18:12:39
共话中国经济新机遇事件简单介绍
历时4年徐翔、应莹离婚案判了！法院：不予支持难以认定感情确已破裂；应莹：将上诉！

4月5日，应莹在微博发文称，昨天，我收到了上海黄浦区人民法院的离婚案判决书。从2019年3月底递交起诉状...

来源：每日经济新闻时间：2023-04-05 15:17:59
【天天快播报】清明 | 让乡愁的家有了寄托
属狗的适合什么礼物

属狗的适合的礼物，我想爸都会用到，可以买一个爸爸喜欢的东西。爸爸是属蛇的，平时工作很辛苦，也很累...

来源：太平洋礼物网时间：2023-04-05 12:13:55
法国就业市场乏力招聘和辞职人数双双下降
世界简讯:赵婷下部电影叫《哈姆奈特》，聚焦莎士比亚身后的女人“安妮·海瑟薇”

首个获得奥斯卡奖的中国女导演赵婷（ChloéZhao）继牛仔、美国流浪者、超能力神族、西部吸血鬼之后，又...

来源：电影界时间：2023-04-05 10:25:04
天天亮点！考虑游客权益，北京环球影城明确禁止未授权的商拍
核废水副作用显现？日本海滩出现大量死亡乌贼，究竟是怎么回事？|今日聚焦

核废水中的放射性物质在被释放到人类所依赖的海洋水域后，可能会对人类健康造成不良的影响。总之，世界...

来源：琉璃聊科学时间：2023-04-05 07:45:41
孔子的故事读后感50字_孔子的故事读后感怎么写_今日看点
曼秀雷敦眼药水是治疗类的吗_曼秀雷敦眼药水

1、纠正一下：不要乱用眼药水~！眼睛痒可能是结膜炎，最好去医院确诊一下。2、结膜炎的话，用曼秀雷敦，...

来源：互联网时间：2023-04-05 02:13:10
环球热点！科斯塔库塔：米兰与那不勒斯的差距已缩小，联赛取胜后米兰更自信
相约安徽·向春而行｜一口清明粿，赴春天之约-世界新要闻

相约安徽·向春而行｜一口清明粿，赴春天之约

来源：二三里资讯时间：2023-04-04 21:06:36
鬼节有什么禁忌呢_鬼节有什么禁忌
每日热讯!甘肃赴港澳招商 “硕果累累”

每日甘肃网讯（新甘肃·每日甘肃网记者王宇晨）记者从甘肃省商务厅获悉，3月26日至3月31日，由省商务厅...

来源：每日甘肃网时间：2023-04-04 18:55:34
汇聚星娱乐演员郭靖新剧《追梦实习手册》开播落魄男主演绎残酷现实_全球热讯
东方电热：预计一季度净利润同比增长0.42%-29.85%|每日简讯

东方电热：预计一季度净利润同比增长0 42%-29 85%：东方电热（300217）公告，预计一季度净利润5800万...

来源：和讯马金露时间：2023-04-04 16:52:53
贸易公司总经理岗位职责_总经理岗位职责|前沿热点
德国历史学家：反对持续提供武器的做法

安东·拉索认为，俄乌冲突持续，让整个欧洲都受到了深远的影响。而眼下，西方国家还在不断加码向乌克兰...

来源：华夏经纬网时间：2023-04-04 15:28:46
当前速讯：“美育芳草”青少年艺术节开幕，国家大剧院向孩子们敞开艺术大门
紫鑫药业：尊敬目前尚无相关消息_当前最新

紫鑫药业(002118)04月04日在投资者关系平台上答复了投资者关心的问题。

来源：证券之星时间：2023-04-04 13:25:53
特朗普自曝被控33项罪名：大呼无罪喊话检察官辞职
贵州烟熏腊肉多少钱一斤_腊肉多少钱一斤_全球微动态

1、我做过一没腊肉来卖，不过是正宗土猪，光买肉是十三块一斤。2、买的后腿肉，因为瘦肉多点，二个后腿...

来源：互联网时间：2023-04-04 11:36:23
全球今热点：莲花健康：2022年扣非净利润同比增长37.82% 改革发展取得新成效
海普瑞：子公司就福沙匹坦二葡甲胺在美国商业化的许可签订分销供应协议

证券时报e公司讯，海普瑞(002399)4月3日晚间公告，全资子公司TechdowUSAInc (简称天道美国)于3月30日与...

来源：证券时报·e公司时间：2023-04-04 10:05:34
【世界时快讯】清明祭祖 “图方便”横跨高速公路不可取
房贷没还完就能卖房，“带押过户”将全面推广

中新网4月4日电(中新财经记者左宇坤)二手房交易流程与成本，迎来重大变动。在传统的交易观念里，“一手...

来源：中国新闻网时间：2023-04-04 08:13:34
深圳“20＋8”产业报告之高端医疗器械
3月中国仓储指数为50.2% 行业保持向好恢复态势天天快讯

　　中储发展股份有限公司副总裁王勇认为，3月，仓储指数有明显回落，主要是受前期基数较高影响，但指数...

来源：腾赚网时间：2023-04-04 05:49:32
天天热讯:4月3日基金净值：国泰双利债券A最新净值1.571，跌0.06%
内外皆换新？奔驰GLS改款车型预热图公布 4月4日亮相

【智车派新闻】4月3日，奔驰官方在推特放出了一张奔驰GLS改款车型的预热图，奔驰方面称，新车将会在当地...

来源：智能汽车CNMO 时间：2023-04-03 22:23:48
本届消博会综合服务保障如何？海南省商务厅答每经问：实行简化审批、“7×24”小时全天候预约等一系列便捷措施_全球简讯
日本大型制造业企业信心指数连续五个季度走低当前看点

证券时报网讯，据新华社消息，日本央行3日公布的企业短期经济观测调查(日银短观)结果显示，今年第一季度...

来源：证券时报网时间：2023-04-03 20:13:44
筵席是什么意思_筵席
新邵县陈家坊镇富阳村大喇叭广播扰民环球时讯

新邵县陈家坊镇富阳村大喇叭广播扰民投诉直通车是湖南日报、华声在线、新湖南主办的投诉维权类栏目,帮助...

来源：华声投诉时间：2023-04-03 18:15:07
世界播报:火箭小号一黑到底，连续两年杀进总决赛，将与76人下属球队争冠
布里奇斯：打83场常规赛很有趣，我能理解球员合理的缺席环球微资讯

今日，NBA常规赛篮网111-110击败爵士。赛后，篮网球员布里奇斯接受了记者采访。布里奇斯在采访中谈到了...

来源：北青网时间：2023-04-03 16:29:37
夫妻哭诉投资7万元开店还未开张就被拆除，当地发布情况说明
俄罗斯是哪个洲_俄罗斯简介|全球短讯

1、俄罗斯是一个欧洲国家。欧洲，全称“欧洲”(Europe)，其名称来源于希腊神话人物“欧罗巴”，位于东半...

来源：互联网时间：2023-04-03 15:00:20
南孚电池5号价格_南孚电池5号|每日速读