SpringBoot与JWT：用户登录实现全攻略

在Java中，利用Spring Boot框架和JWT（JSON Web Tokens）实现用户登录功能是一个常见的实践，它有助于简化安全性和API交互。以下是一个详细的步骤指南： 1. 添加JWT依赖： 首先，在项目中的`pom.xml`文件中引入必要的JWT库。在这个例子中，我们看到两个依赖：一个是`jjwt`，它提供了基础的JSON Web Token支持，版本为0.9.1，另一个是`java-jwt`，可能是Auth0提供的一个扩展库，版本为3.10.3。 ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.10.3</version> </dependency> ``` 确保这两个库已经正确添加，它们将提供处理JWT认证所需的功能。 2. 用户模型（User类）： 创建一个名为`User`的实体类，用于存储用户的个人信息，如用户名和密码。使用MyBatis Plus注解来管理数据库操作，同时使用Lombok库简化数据访问和验证。 ```java package com.example.canyon_gaming.entity; import com.baomidou.mybatisplus.annotation.IdType; import com.baomidou.mybatisplus.annotation.TableId; import com.baomidou.mybatisplus.annotation.TableName; import lombok.AllArgsConstructor; import lombok.Data; import lombok.EqualsAndHashCode; import lombok.NoArgsConstructor; import lombok.experimental.Accessors; import java.io.Serializable; / * 用户实体类 * @author sen * @since 2023-05-02 */ @Data @EqualsAndHashCode(callSuper = false) @Accessors(chain = true) @TableName("user") @AllArgsConstructor @NoArgsConstructor public class User implements Serializable { private static final long serialVersionUID = 1L; @TableId(value = "id", type = IdType.AUTO) private Long id; private String username; private String password; // 其他可能的字段如邮箱、角色等... } ``` 确保User类包含所有必要的属性，并且密码通常会进行加密处理，以防明文存储。 3. 登录服务： 在Spring Boot应用中，你需要创建一个登录服务接口和实现类，接收用户提交的用户名和密码，进行身份验证。这里可能涉及到数据库查询用户信息，然后使用JWT工具生成和验证token。 ```java // LoginService接口 public interface LoginService { JWTResponse login(User user); } // LoginServiceImpl实现 @Service public class LoginServiceImpl implements LoginService { @Autowired private UserRepository userRepository; @Override public JWTResponse login(User user) { // 验证用户名和密码 User dbUser = userRepository.findByUsername(user.getUsername()); if (dbUser != null && dbUser.getPassword().equals(BCrypt.hashpw(user.getPassword(), BCrypt.gensalt()))) { // 如果验证通过，生成JWT token JWTResponse jwtResponse = new JWTResponse(); String token = generateToken(user.getId(), "ROLE_USER"); // 使用Auth0或自定义方法生成JWT jwtResponse.setToken(token); return jwtResponse; } else { throw new AuthenticationException("Invalid credentials"); } } private String generateToken(Long userId, String role) { // 使用Auth0 Java-JWT库生成JWT，包含用户ID和角色等信息 // 示例代码： JWT Builder builder = Jwts.builder() .setId(userId.toString()) .setSubject(userId) .claim("role", role) .signWith(SignatureAlgorithm.HS512, "your-secret-key"); // 用你的密钥签名 return builder.compact(); } } ``` 4. 认证中间件： 在Spring Boot应用中，你还需要配置一个JWT过滤器或者全局拦截器，用于在每个请求到达API之前验证token的有效性。这通常在`WebSecurityConfigurerAdapter`或`GlobalAuthenticationFilter`中实现。 5. 安全设置： 在Spring Boot中，配置Spring Security以启用JWT支持，可能需要在`application.properties`或`application.yml`中添加相关设置，并配置JWT解析器和认证失败处理。 ```properties spring.security.oauth2.resourceserver.jwt.jwt-uri=/token spring.security.oauth2.resourceserver.jwt.issuer-uri=http://localhost:8080/auth/token # JWT秘钥 spring.security.oauth2.resourceserver.jwt.jwk-set-uri=http://localhost:8080/auth/jwks ``` 总结： 通过以上步骤，你可以实现一个基于Spring Boot和JWT的用户登录系统。用户登录时，首先验证用户输入的凭证，如果有效则生成并返回JWT token；在每个需要授权的API调用前，使用JWT过滤器检查token，确保只有已认证的用户才能访问资源。这个过程既简化了API的安全性，又提供了灵活的权限管理。