当前位置：首页 > news >正文

jwt token验证

news 2025/6/7 4:01:51

JWT Token验证方法及实现

JWT（JSON Web Token）是一种用于在网络应用环境间传递声明的开放标准，其验证流程通常包括以下几个核心部分：获取请求头中的Token信息、使用密钥对Token进行解密和验证，并从验证结果中提取用户信息。以下是实现JWT Token验证的具体内容：

1. 获取Token

在HTTP请求中，JWT Token通常存储在请求头的Authorization字段中，格式为Bearer <token>。可以通过以下代码从请求中提取Token：

public String getToken(HttpServletRequest request) {String token = request.getHeader("Authorization");if (token != null && token.startsWith("Bearer ")) {return token.substring(7); // 去掉"Bearer "前缀}return null;
}

2. 验证Token

使用JWT库（如jjwt）提供的工具类对Token进行验证。验证过程包括检查签名是否正确、Token是否过期等。以下是示例代码：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;public boolean verifyToken(String token, String secretKey) {try {Jwts.parser().setSigningKey(secretKey) // 设置密钥.parseClaimsJws(token); // 解析并验证Tokenreturn true; // 验证成功} catch (Exception e) {return false; // 验证失败}
}

3. 提取用户信息

如果Token验证通过，则可以从Token中提取用户信息，例如用户ID或用户名。以下是示例代码：

public String getUserIdFromToken(String token, String secretKey) {Claims claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token).getBody();return claims.getSubject(); // 返回用户ID或用户名
}

4. 拦截器实现Token验证

为了在Spring Boot中实现自动化的Token验证，可以创建一个拦截器，在请求到达控制器之前完成Token的验证工作。以下是拦截器的实现代码：

@Component
public class JwtInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String token = getToken(request);if (token == null || !verifyToken(token, "your-secret-key")) {response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return false; // 验证失败，阻止请求继续}return true; // 验证成功，放行请求}
}

5. 注册拦截器

最后，需要将拦截器注册到Spring Boot的配置类中：

@Configuration
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate JwtInterceptor jwtInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(jwtInterceptor).addPathPatterns("/**") // 拦截所有路径.excludePathPatterns("/login", "/register"); // 排除登录和注册接口}
}