Spring Boot + JWT：API token认证详解与实战示例

本文将深入探讨如何在Spring Boot应用中使用JWT (JSON Web Tokens) 实现API的token认证。JWT是一种轻量级的身份验证机制，特别适合于分布式系统，因为它允许在客户端存储加密过的令牌，从而减轻服务器端维护session或token的负担。以下是一些关键知识点： 1. **JWT简介**： JWT由三部分组成：头部、载荷（payload）和签名。头部包含令牌类型和算法信息，载荷包含了用户信息如用户ID、角色等，而签名则是通过特定算法对这两部分进行加密，确保数据完整性和来源可信。 2. **依赖引入**： 使用Spring Boot项目时，需要引入`jjwt`库版本`0.9.0`以及`fastjson`库（例如`1.2.44`），以便处理JSON数据和生成JWT。 3. **生成JWT Token**： 生成JWT时，重要的是添加唯一的标识（如UUID和当前时间戳），以及设置签发者（issuer）、主题（subject）和接收者（audience）。此外，还可以选择压缩数据以减小大小。 示例代码如下： ```java long currentTime = System.currentTimeMillis(); Jwts.builder() .setId(UUID.randomUUID().toString()) .setIssuedAt(new Date(currentTime)) .setSubject("system") .setIssuer("shenniu003") .setAudience("custom") .compressWith(CompressionCodecs.GZIP) .signWith(SignatureAlgorithm.HS256, "your_secret_key") // 使用HS256哈希算法和密钥签名 .compact(); // 生成最终的JWT字符串 ``` 4. **验证Token**： 在客户端发送请求时，服务端会检查接收到的JWT是否有效，包括签名是否正确、过期时间是否已到等。这通常涉及到解析JWT、验证签名和解密载荷的过程。 5. **获取Token信息**： 一旦验证通过，服务端可以从JWT中获取用户信息，这些信息可以用于进一步的授权和权限控制。 6. **Spring Boot集成**： Spring Boot提供了一种简单的方式来集成JWT，如使用`@RestControllerAdvice`自定义全局异常处理，处理未授权或无效Token的情况，并通过`@AuthenticationPrincipal`注解获取当前登录用户的JWT信息。 7. **安全性与最佳实践**： - 使用HTTPS保护通信，防止中间人攻击。 - 对密钥进行管理，定期更换并确保只有安全的环境知道。 - 适当设置JWT的生命周期，如过期时间（TTL）。 通过本文提供的指南，开发者能够理解和实践如何在Spring Boot应用中有效地使用JWT进行API的token认证，提高系统的安全性和可扩展性。