快捷導(dǎo)航

Java中JWT雙簽發(fā)認(rèn)證過(guò)程的實(shí)現(xiàn)

更新時(shí)間：2025年08月24日 10:50:39 作者：hqxstudying

在Java項(xiàng)目中實(shí)現(xiàn)JWT雙簽發(fā)認(rèn)證(即同時(shí)生成Access Token和Refresh Token),文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

在 Java 項(xiàng)目中實(shí)現(xiàn) JWT 雙簽發(fā)認(rèn)證（即同時(shí)生成 Access Token 和 Refresh Token），核心流程包括 登錄時(shí)雙 Token 生成、Token 過(guò)期時(shí)的刷新邏輯以及 Token 的存儲(chǔ)與驗(yàn)證。以下是結(jié)合上述代碼的詳細(xì)實(shí)現(xiàn)步驟和關(guān)鍵邏輯說(shuō)明：

一、登錄時(shí)生成雙 Token

1. 登錄接口邏輯

用戶提交用戶名和密碼后，服務(wù)端驗(yàn)證憑證有效性。若驗(yàn)證通過(guò)，調(diào)用 JwtUtil 生成 Access Token 和 Refresh Token，并返回給客戶端。

@RestController
@RequestMapping("/api/auth")
public class AuthController {
    private final UserService userService;
    private final JwtUtil jwtUtil;
 
    @PostMapping("/login")
    public ResponseEntity<Map<String, String>> login(@RequestBody LoginRequest request) {
        // 1. 驗(yàn)證用戶名和密碼
        User user = userService.authenticate(request.getUsername(), request.getPassword());
        if (user == null) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
        }
 
        // 2. 生成雙 Token
        String accessToken = jwtUtil.generateAccessToken(user.getUsername(), user.getRoles());
        String refreshToken = jwtUtil.generateRefreshToken(user.getUsername());
 
        // 3. 返回 Token（示例：以 JSON 格式返回）
        Map<String, String> tokenMap = new HashMap<>();
        tokenMap.put("accessToken", accessToken);
        tokenMap.put("refreshToken", refreshToken);
        return ResponseEntity.ok(tokenMap);
    }
}

2.JwtUtil中的雙 Token 生成邏輯

Access Token：包含用戶角色和權(quán)限信息，有效期短（如 15 分鐘）。
Refresh Token：僅包含用戶身份（用戶名），有效期長(zhǎng)（如 7 天），用于刷新 Access Token。

@Component
public class JwtUtil {
    // 省略已定義的常量和工具方法...
 
    // 生成 Access Token（包含角色信息）
    public String generateAccessToken(String username, String roles) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("roles", roles); // 將角色信息存入 Claims
        return createToken(claims, username, ACCESS_TOKEN_VALIDITY);
    }
 
    // 生成 Refresh Token（僅包含用戶身份，無(wú)權(quán)限信息）
    public String generateRefreshToken(String username) {
        return createToken(new HashMap<>(), username, REFRESH_TOKEN_VALIDITY); // 空 Claims，僅存儲(chǔ) subject（用戶名）
    }
}

二、Access Token 過(guò)期時(shí)的刷新邏輯

1. 刷新 Token 的接口設(shè)計(jì)

當(dāng)客戶端檢測(cè)到 Access Token 過(guò)期時(shí)，攜帶 Refresh Token 調(diào)用刷新接口，獲取新的 Access Token（可選：同時(shí)刷新 Refresh Token）。

@PostMapping("/refresh-token")
public ResponseEntity<Map<String, String>> refreshToken(@RequestHeader("Refresh-Token") String refreshToken) {
    // 1. 驗(yàn)證 Refresh Token 有效性
    if (!jwtUtil.validateToken(refreshToken)) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
 
    // 2. 從 Refresh Token 中獲取用戶名
    String username = jwtUtil.getUsernameFromToken(refreshToken);
 
    // 3. 查詢用戶信息（獲取角色等權(quán)限信息）
    User user = userService.getUserByUsername(username);
    if (user == null) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
 
    // 4. 生成新的 Access Token（可選：生成新的 Refresh Token）
    String newAccessToken = jwtUtil.generateAccessToken(username, user.getRoles());
    String newRefreshToken = jwtUtil.generateRefreshToken(username); // 可選：每次刷新時(shí)更換 Refresh Token
 
    // 5. 返回新 Token（示例：僅返回新 Access Token，或同時(shí)返回新 Refresh Token）
    Map<String, String> newTokenMap = new HashMap<>();
    newTokenMap.put("accessToken", newAccessToken);
    newTokenMap.put("refreshToken", newRefreshToken); // 可選
    return ResponseEntity.ok(newTokenMap);
}

2. 刷新策略說(shuō)明

是否刷新 Refresh Token：
- 不刷新：Refresh Token 有效期內(nèi)可重復(fù)使用（簡(jiǎn)單但存在安全風(fēng)險(xiǎn)，若 Refresh Token 泄露，攻擊者可長(zhǎng)期使用）。
- 刷新：每次調(diào)用刷新接口時(shí)生成新的 Refresh Token（需在數(shù)據(jù)庫(kù)或緩存中維護(hù) Refresh Token 的有效性，例如存儲(chǔ)每個(gè)用戶的最新 Refresh Token）。
推薦方案：每次刷新時(shí)生成新的 Refresh Token，并在服務(wù)端維護(hù)一個(gè) Refresh Token 黑名單 或 用戶當(dāng)前有效 Refresh Token，防止舊 Token 被濫用。

三、Token 的存儲(chǔ)與傳輸

1. 客戶端存儲(chǔ)方式

Access Token：通常存儲(chǔ)在內(nèi)存（如 Vuex/Redux）或 LocalStorage 中，用于每次請(qǐng)求的 Authorization 頭。
Refresh Token：為增強(qiáng)安全性，建議存儲(chǔ)在 HttpOnly Cookie 中，避免 XSS 攻擊。若無(wú)法使用 Cookie，可存儲(chǔ)在安全的客戶端存儲(chǔ)中（如加密的 LocalStorage），但需注意 CSRF 防護(hù)。

2. 請(qǐng)求頭攜帶方式

Authorization: Bearer <Access Token>
Refresh-Token: <Refresh Token> // 刷新接口使用

四、安全增強(qiáng)措施

1. Refresh Token 黑名單

場(chǎng)景：用戶登出、Refresh Token 泄露時(shí)，需立即失效舊 Token。
實(shí)現(xiàn)：使用 Redis 緩存存儲(chǔ)已失效的 Refresh Token，設(shè)置與 Refresh Token 相同的過(guò)期時(shí)間。刷新接口中先檢查 Token 是否在黑名單中。

// 登出時(shí)將 Refresh Token 加入黑名單
@PostMapping("/logout")
public ResponseEntity<Void> logout(@RequestHeader("Refresh-Token") String refreshToken) {
    redisTemplate.opsForValue().set("blacklist:" + refreshToken, "invalid", REFRESH_TOKEN_VALIDITY, TimeUnit.MILLISECONDS);
    return ResponseEntity.ok().build();
}
 
// 刷新接口中檢查黑名單
public boolean isRefreshTokenBlacklisted(String refreshToken) {
    return redisTemplate.hasKey("blacklist:" + refreshToken);
}

2. 設(shè)備標(biāo)識(shí)綁定

為每個(gè)用戶會(huì)話生成唯一的設(shè)備標(biāo)識(shí)（如 UUID），存儲(chǔ)在 Refresh Token 的 Claims 中，并在服務(wù)端關(guān)聯(lián)用戶和設(shè)備標(biāo)識(shí)。刷新時(shí)驗(yàn)證設(shè)備標(biāo)識(shí)是否匹配，防止跨設(shè)備偽造。

// 登錄時(shí)生成設(shè)備標(biāo)識(shí)
String deviceId = UUID.randomUUID().toString();
claims.put("deviceId", deviceId); // 存入 Refresh Token 的 Claims
 
// 刷新時(shí)驗(yàn)證設(shè)備標(biāo)識(shí)
String storedDeviceId = (String) getAllClaimsFromToken(refreshToken).get("deviceId");
if (!storedDeviceId.equals(user.getCurrentDeviceId())) {
    return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}

五、結(jié)合 RBAC 的權(quán)限控制

在 Spring Security 的配置中，通過(guò) hasRole 或 hasAuthority 方法校驗(yàn) Access Token 中的角色信息，實(shí)現(xiàn) RBAC 權(quán)限控制（如上述代碼中的 SecurityConfig）。

// SecurityConfig 中配置角色權(quán)限
.antMatchers("/api/admin/**").hasRole("ADMIN") // 要求角色為 ADMIN
.antMatchers("/api/user/**").hasAnyRole("ADMIN", "USER") // 要求角色為 ADMIN 或 USER

總結(jié)：雙簽發(fā)認(rèn)證核心流程

登錄：驗(yàn)證用戶憑證 → 生成 Access Token（含角色）和 Refresh Token（含用戶身份）→ 返回客戶端。
正常請(qǐng)求：客戶端攜帶 Access Token → 服務(wù)端驗(yàn)證有效性 → 校驗(yàn)角色權(quán)限 → 允許訪問。
Token 過(guò)期：客戶端攜帶 Refresh Token → 服務(wù)端驗(yàn)證有效性 → 生成新的 Access Token（可選新 Refresh Token）→ 返回客戶端。
安全防護(hù)：通過(guò) HttpOnly Cookie、黑名單、設(shè)備綁定等機(jī)制增強(qiáng) Token 安全性。

通過(guò)以上步驟，可在 Java 項(xiàng)目中實(shí)現(xiàn)基于 JWT 的雙簽發(fā)認(rèn)證，并結(jié)合 RBAC 實(shí)現(xiàn)細(xì)粒度權(quán)限控制。

到此這篇關(guān)于Java中JWT雙簽發(fā)認(rèn)證過(guò)程的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Java JWT雙簽發(fā)認(rèn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Java中JWT雙簽發(fā)認(rèn)證過(guò)程的實(shí)現(xiàn)

目錄

一、登錄時(shí)生成雙 Token

1. 登錄接口邏輯

2.JwtUtil中的雙 Token 生成邏輯

二、Access Token 過(guò)期時(shí)的刷新邏輯

1. 刷新 Token 的接口設(shè)計(jì)

2. 刷新策略說(shuō)明

三、Token 的存儲(chǔ)與傳輸

1. 客戶端存儲(chǔ)方式

2. 請(qǐng)求頭攜帶方式

四、安全增強(qiáng)措施

1. Refresh Token 黑名單

2. 設(shè)備標(biāo)識(shí)綁定

五、結(jié)合 RBAC 的權(quán)限控制

總結(jié)：雙簽發(fā)認(rèn)證核心流程

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Java中JWT雙簽發(fā)認(rèn)證過(guò)程的實(shí)現(xiàn)

目錄

一、登錄時(shí)生成雙 Token

1. 登錄接口邏輯

2.JwtUtil中的雙 Token 生成邏輯

二、Access Token 過(guò)期時(shí)的刷新邏輯

1. 刷新 Token 的接口設(shè)計(jì)

2. 刷新策略說(shuō)明

三、Token 的存儲(chǔ)與傳輸

1. 客戶端存儲(chǔ)方式

2. 請(qǐng)求頭攜帶方式

四、安全增強(qiáng)措施

1. Refresh Token 黑名單

2. 設(shè)備標(biāo)識(shí)綁定

五、結(jié)合 RBAC 的權(quán)限控制

總結(jié)：雙簽發(fā)認(rèn)證核心流程

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

二、Access Token 過(guò)期時(shí)的刷新邏輯

三、Token 的存儲(chǔ)與傳輸

五、結(jié)合 RBAC 的權(quán)限控制