Java中如何引入JWT依赖并实现基础验证？

一、JWT简介与引入依赖

JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在网络应用环境间安全地传递声明（claims）。它以紧凑的URL安全字符串形式传输，常用于身份验证和信息交换。

Maven项目中引入JWT依赖

在Java Web项目中，通常使用 jjwt 或 auth0/java-jwt 这两个库来处理JWT。这里以 jjwt 为例：

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

二、JWT的基本结构与生成方式

JWT由三部分组成：Header（头部）、Payload（负载）、Signature（签名）。其结构如下：

• Header：包含算法（如HS256）和令牌类型（JWT）
• Payload：包含用户信息（claims），分为注册声明、公共声明和私有声明
• Signature：将header和payload进行加密后的签名值

生成一个基础的JWT Token

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtil {
    private static final String SECRET_KEY = "your-secret-key";
    private static final long EXPIRATION = 864_000_000; // 10 days

    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }
}

三、在Web请求中解析JWT并实现基础身份验证

为了在Java Web项目中实现基于JWT的身份验证机制，需要拦截所有请求，从中提取token，并进行验证。

创建JWT过滤器类

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.JwtParser;
import io.jsonwebtoken.Jwts;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class JwtFilter extends GenericFilterBean {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String token = httpRequest.getHeader("Authorization");

        if (token != null && token.startsWith("Bearer ")) {
            token = token.substring(7);
            try {
                JwtParser parser = Jwts.parser().setSigningKey("your-secret-key");
                Jws jws = parser.parseClaimsJws(token);
                String username = jws.getBody().getSubject();
                // 可将username放入request attribute中供后续使用
                request.setAttribute("username", username);
            } catch (Exception e) {
                // 处理异常，如token过期或签名错误
                response.getWriter().write("Invalid JWT Token");
                response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                return;
            }
        }

        chain.doFilter(request, response);
    }
}

四、整合Spring Security实现更完整的认证流程

在实际企业级项目中，推荐结合 Spring Security 使用JWT，形成完整的认证授权体系。

配置Spring Security中的JWT过滤器链

以下是一个简单的配置示例：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
            .addFilterBefore(new JwtFilter(), UsernamePasswordAuthenticationFilter.class)
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated();
    }
}

五、JWT安全性建议与常见问题分析

虽然JWT简化了身份验证流程，但也存在一些安全隐患和常见问题：

常见问题及解决方案

六、总结与进阶方向

本文从JWT的基本概念入手，逐步讲解了如何在Java Web项目中正确引入JWT依赖、生成token、解析token以及结合Spring Security进行集成。

进一步学习方向

1. 了解OAuth2与JWT的结合使用
2. 研究JWT刷新机制（Refresh Token）设计
3. 探索JWT黑名单机制（如Redis存储失效token）
4. 深入理解JWT Claims的标准字段定义
5. 学习JWT的非对称加密（如RSA）用法

流程图展示JWT基本流程