java怎么生成和解析JWT 通过JWT实现用户登录认证与鉴权-java教程-PHP中文网

java怎么生成和解析JWT 通过JWT实现用户登录认证与鉴权

星降

发布： 2025-11-16 17:51:49

原创

231人浏览过

Java中使用JJWT库生成和解析JWT，实现无状态认证。1. 添加jjwt-api、jjwt-impl、jjwt-jackson依赖；2. 调用Jwts.builder()设置subject、签发时间、过期时间，使用HS512算法和密钥生成Token；3. 通过Jwts.parser()解析Token，捕获ExpiredJwtException处理过期，获取Claims主体信息；4. 在Spring Boot中结合过滤器校验Authorization头，提取用户名并设置安全上下文，实现自动鉴权与权限控制。

java怎么生成和解析jwt 通过jwt实现用户登录认证与鉴权

Java中生成和解析JWT（JSON Web Token）通常使用开源库如 jjwt，它是目前最流行的JWT实现之一。通过JWT可以实现无状态的用户登录认证与权限控制，适合前后端分离或微服务架构。

1. 添加JJWT依赖

在Maven项目中引入JJWT相关依赖：

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

登录后复制

2. 生成JWT令牌

用户登录成功后，服务器生成JWT返回给客户端。以下是一个生成Token的示例：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtUtil {

    private static final String SECRET_KEY = "your-secret-key-must-be-long-and-secure";
    private static final long EXPIRATION_TIME = 86400000; // 24小时

    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }
}

登录后复制

该方法将用户名作为主体（subject），设置签发时间、过期时间，并使用HS512算法和密钥签名。

立即学习“Java免费学习笔记（深入）”；

3. 解析和验证JWT

每次请求携带Token时，服务端需解析并验证其有效性：

DeepBrain

AI视频生成工具，ChatGPT +生成式视频AI =你可以制作伟大的视频!

108

查看详情

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;

public class JwtUtil {

    // ... 上面的generateToken方法

    public static Claims parseToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException e) {
            System.out.println("Token已过期");
        } catch (Exception e) {
            System.out.println("无效Token");
        }
        return null;
    }

    public static String getUsernameFromToken(String token) {
        Claims claims = parseToken(token);
        return claims != null ? claims.getSubject() : null;
    }
}

登录后复制

解析失败可能是Token过期或被篡改，应返回null或抛出异常。

4. 在Spring Boot中集成JWT实现登录认证

实际项目中，通常结合拦截器或过滤器实现自动鉴权：

登录接口：验证用户名密码，成功后调用generateToken返回Token
过滤器：检查请求头中的Authorization字段（如：Bearer xxxxx），提取Token并验证
权限控制：从Token中获取用户名，查询角色信息进行权限判断

示例过滤器片段：

@Override
protected void doFilterInternal(HttpServletRequest request,
                                HttpServletResponse response,
                                FilterChain chain) throws IOException, ServletException {
    String header = request.getHeader("Authorization");
    if (header != null && header.startsWith("Bearer ")) {
        String token = header.substring(7);
        String username = JwtUtil.getUsernameFromToken(token);
        if (username != null) {
            // 设置安全上下文
            UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
                username, null, Collections.emptyList());
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
    }
    chain.doFilter(request, response);
}

登录后复制

基本上就这些。使用JWT可以避免服务端存储Session，提升系统可扩展性，但要注意Token一旦签发无法主动失效，建议设置合理有效期，配合Redis实现登出或强制下线功能。

以上就是java怎么生成和解析JWT 通过JWT实现用户登录认证与鉴权的详细内容，更多请关注php中文网其它相关文章！