Java实战：实现JWT刷新令牌机制_java jwt刷新

作者：Monodyee | 2024-05-06 13:40:33

踩

java jwt刷新

本文将详细介绍如何在Java应用程序中实现JWT刷新令牌机制。我们将探讨JWT刷新令牌的基本概念，以及如何使用Spring Boot和JWT库来实现认证和授权。此外，我们将通过具体的示例来展示如何在Spring Boot中创建和验证JWT Token，以及如何实现JWT刷新令牌机制。本文适合希望使用JWT刷新令牌机制的Java开发者阅读。

一、引言

在Web应用程序中，安全性是非常重要的一环。JSON Web Token（JWT）是一种轻量级、自包含、基于JSON的认证授权机制，它可以在客户端和服务器之间传递安全信息。JWT通常用于身份验证和授权，但它有一些限制，如Token有效期较短，用户需要频繁重新登录。为了解决这个问题，我们可以实现JWT刷新令牌机制，延长用户的登录状态。

二、JWT刷新令牌的基本概念

1. 什么是JWT刷新令牌？
JWT刷新令牌是一种机制，用于在Token有效期到期之前，为用户生成一个新的Token，从而延长用户的登录状态。刷新令牌通常与访问令牌一起发送给用户，并在Token有效期内使用。
2. JWT刷新令牌的作用

延长用户登录状态：通过为用户生成新的Token，可以避免用户频繁重新登录。
提高系统安全性：刷新令牌可以限制用户在Token有效期内访问系统的能力，降低安全风险。

三、在Spring Boot中实现JWT刷新令牌机制

1. 添加JWT依赖
在项目的pom.xml文件中，添加Spring Boot的JWT依赖：

<dependencies>
    <!-- Spring Boot Web依赖 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <!-- Spring Boot Security依赖 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <!-- JWT依赖 -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>
</dependencies>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

2. 配置JWT
在Spring Boot中，可以使用JwtConfigurer和JwtTokenProvider类来配置JWT。以下是一个简单的JWT配置类示例：

package com.example.demo.config;
import com.example.demo.security.JwtTokenProvider;
import io.jsonwebtoken.security.Keys;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import java.security.Key;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public JwtTokenProvider jwtTokenProvider() {
        return new JwtTokenProvider(key());
    }
    @Bean
    public Key key() {
        return Keys.secretKeyFor(SignatureAlgorithm.HS256);
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
                .antMatchers("/auth/**").permitAll() // 允许所有人访问认证接口
                .anyRequest().authenticated() // 其他请求都需要认证
            .and()
            .apply(jwtTokenFilterConfigurer(jwtTokenProvider()));
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

在上面的代码中，我们创建了一个JWT配置类，它包含了一个JwtTokenProvider Bean，用于生成和验证JWT Token。我们还配置了一个key Bean，用于生成签名。

3. 创建JWT Token过滤器
在Spring Boot中，需要创建一个JWT Token过滤器来验证请求中的Token。以下是一个简单的JWT Token过滤器示例：

package com.example.demo.security;
import com.example.demo.config.JwtConfig;
import com.example.demo.config.JwtTokenProvider;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.MalformedJwtException;
import io.jsonwebtoken.UnsupportedJwtException;
import io.jsonwebtoken.security.SignatureException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class JwtTokenFilter extends OncePerRequestFilter {
    @Autowired
    private JwtTokenProvider jwtTokenProvider;
    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain) throws ServletException, IOException {
        try {
            String token = jwtTokenProvider.resolveToken(request);
            if (token != null && jwtTokenProvider.validateToken(token)) {
                String username = jwtTokenProvider.getUsernameFromToken(token);
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, null, Collections.emptyList());
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        } catch (ExpiredJwtException | MalformedJwtException | UnsupportedJwtException | SignatureException e) {
            throw new RuntimeException("Invalid JWT token");
        }
        chain.doFilter(request, response);
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

在上面的代码中，我们创建了一个JwtTokenFilter类，它继承自OncePerRequestFilter并重写了doFilterInternal()方法。这个过滤器会拦截每个请求，并尝试解析和验证请求中的JWT Token。如果Token有效，它会创建一个UsernamePasswordAuthenticationToken对象，并将其设置到安全上下文中。
4. 创建认证接口
在Spring Boot中，创建一个认证接口来处理用户登录请求。以下是一个简单的认证接口示例：

package com.example.demo.controller;
import com.example.demo.model.User;
import com.example.demo.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class AuthController {
    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private JwtTokenProvider jwtTokenProvider;
    @Autowired
    private UserService userService;
    @PostMapping("/auth/login")
    public ResponseEntity<?> login(@RequestBody User user) {
        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));
        SecurityContextHolder.getContext().setAuthentication(authentication);
        String jwt = jwtTokenProvider.createToken(authentication);
        return ResponseEntity.ok(new JwtAuthenticationResponse(jwt));
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

在上面的代码中，我们创建了一个AuthController类，它包含了一个login方法，用于处理用户登录请求。这个方法会使用AuthenticationManager来验证用户名和密码，如果验证成功，它会创建一个JWT Token并将其返回给客户端。

5. 创建JWT Authentication Response
创建一个简单的响应类，用于返回认证结果和JWT Token。以下是一个简单的响应类示例：

package com.example.demo;
import java.util.Map;
public class JwtAuthenticationResponse {
    private String token;
    private Map<String, Object> additionalInfo;
    public JwtAuthenticationResponse(String token) {
        this.token = token;
    }
    public String getToken() {
        return token;
    }
    public void setToken(String token) {
        this.token = token;
    }
    public Map<String, Object> getAdditionalInfo() {
        return additionalInfo;
    }
    public void setAdditionalInfo(Map<String, Object> additionalInfo) {
        this.additionalInfo = additionalInfo;
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

6. 创建User Service
创建一个用户服务类，用于模拟用户数据的访问。以下是一个简单的用户服务类示例：

package com.example.demo.service;
import com.example.demo.model.User;
import org.springframework.stereotype.Service;
import java.util.HashMap;
import java.util.Map;
@Service
public class UserService {
    private static final Map<String, User> users = new HashMap<>();
    static {
        users.put("user", new User("user", "password"));
        users.put("admin", new User("admin", "password"));
    }
    public User findByUsername(String username) {
        return users.get(username);
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

7. 创建User Model
创建一个简单的用户模型类，用于表示用户数据。以下是一个简单的用户模型类示例：

package com.example.demo.model;
public class User {
    private String username;
    private String password;
    public User(String username, String password) {
        this.username = username;
        this.password = password;
    }
    public String getUsername() {
        return username;
    }
    public void setUsername(String username) {
        this.username = username;
    }
    public String getPassword() {
        return password;
    }
    public void setPassword(String password) {
        this.password = password;
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

8. 实现JWT刷新令牌机制
为了实现JWT刷新令牌机制，我们需要创建一个刷新令牌的接口，并更新Token的过期时间。以下是一个简单的刷新令牌接口示例：

package com.example.demo.controller;
import com.example.demo.model.JwtAuthenticationResponse;
import com.example.demo.service.AuthService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class RefreshTokenController {
    @Autowired
    private AuthService authService;
    @PostMapping("/auth/refresh")
    public ResponseEntity<?> refreshToken(@RequestBody JwtAuthenticationResponse jwtAuthResponse) {
        String token = jwtAuthResponse.getToken();
        String refreshedToken = authService.refreshToken(token);
        JwtAuthenticationResponse response = new JwtAuthenticationResponse(refreshedToken);
        return ResponseEntity.ok(response);
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

在AuthService类中，我们需要实现一个refreshToken方法，用于更新Token的过期时间。以下是一个简单的refreshToken方法示例：

package com.example.demo.service;
import com.example.demo.model.JwtAuthenticationResponse;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Service;
import java.util.Date;
@Service
public class AuthService {
    private final JwtTokenProvider jwtTokenProvider;
    public AuthService(JwtTokenProvider jwtTokenProvider) {
        this.jwtTokenProvider = jwtTokenProvider;
    }
    public String refreshToken(String token) {
        Claims claims = jwtTokenProvider.getClaimsFromToken(token);
        claims.setExpiration(new Date(System.currentTimeMillis() + jwtTokenProvider.getTokenValidityInMilliseconds()));
        return jwtTokenProvider.createToken(claims);
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

在上面的代码中，我们创建了一个AuthService类，它包含了一个refreshToken方法。这个方法会获取Token中的Claims，并更新其过期时间，然后使用JwtTokenProvider创建一个新的Token。
9. 运行项目
将以上代码添加到我们的Spring Boot项目中，并运行项目。我们可以通过浏览器或Postman等工具访问http://localhost:8080/auth/login，并使用用户名和密码进行登录，观察JWT Token认证授权的效果。同时，我们还可以访问http://localhost:8080/auth/refresh来获取新的Token。

四、总结

本文详细介绍了如何在Java应用程序中实现JWT刷新令牌机制。我们首先了解了JWT刷新令牌的基本概念和作用。然后，我们学习了如何使用Spring Boot和JWT库来实现认证和授权，并通过具体的示例展示了如何在Spring Boot中创建和验证JWT Token，以及如何实现JWT刷新令牌机制。
通过本文，您应该已经掌握了如何实现JWT刷新令牌机制。您学会了如何创建和配置JWT，如何创建JWT Token过滤器，如何创建认证接口，如何实现JWT刷新令牌机制，以及如何使用JWT刷新令牌。希望本文能够帮助您在开发Java应用程序时更加得心应手。如果您有任何疑问或建议，请随时留言交流。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/Monodyee/article/detail/544454