欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Java中JWT雙簽發(fā)認(rèn)證過(guò)程的實(shí)現(xiàn)

 更新時(shí)間:2025年08月24日 10:50:39   作者:hqxstudying  
在Java項(xiàng)目中實(shí)現(xiàn)JWT雙簽發(fā)認(rèn)證(即同時(shí)生成Access Token和Refresh Token),文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

在 Java 項(xiàng)目中實(shí)現(xiàn) JWT 雙簽發(fā)認(rèn)證(即同時(shí)生成 Access Token 和 Refresh Token),核心流程包括 登錄時(shí)雙 Token 生成、Token 過(guò)期時(shí)的刷新邏輯以及 Token 的存儲(chǔ)與驗(yàn)證。以下是結(jié)合上述代碼的詳細(xì)實(shí)現(xiàn)步驟和關(guān)鍵邏輯說(shuō)明:

一、登錄時(shí)生成雙 Token

1. 登錄接口邏輯

用戶(hù)提交用戶(hù)名和密碼后,服務(wù)端驗(yàn)證憑證有效性。若驗(yàn)證通過(guò),調(diào)用 JwtUtil 生成 Access Token 和 Refresh Token,并返回給客戶(hù)端。

@RestController
@RequestMapping("/api/auth")
public class AuthController {
    private final UserService userService;
    private final JwtUtil jwtUtil;
 
    @PostMapping("/login")
    public ResponseEntity<Map<String, String>> login(@RequestBody LoginRequest request) {
        // 1. 驗(yàn)證用戶(hù)名和密碼
        User user = userService.authenticate(request.getUsername(), request.getPassword());
        if (user == null) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
        }
 
        // 2. 生成雙 Token
        String accessToken = jwtUtil.generateAccessToken(user.getUsername(), user.getRoles());
        String refreshToken = jwtUtil.generateRefreshToken(user.getUsername());
 
        // 3. 返回 Token(示例:以 JSON 格式返回)
        Map<String, String> tokenMap = new HashMap<>();
        tokenMap.put("accessToken", accessToken);
        tokenMap.put("refreshToken", refreshToken);
        return ResponseEntity.ok(tokenMap);
    }
}

2.JwtUtil中的雙 Token 生成邏輯

  • Access Token:包含用戶(hù)角色和權(quán)限信息,有效期短(如 15 分鐘)。
  • Refresh Token:僅包含用戶(hù)身份(用戶(hù)名),有效期長(zhǎng)(如 7 天),用于刷新 Access Token。
@Component
public class JwtUtil {
    // 省略已定義的常量和工具方法...
 
    // 生成 Access Token(包含角色信息)
    public String generateAccessToken(String username, String roles) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("roles", roles); // 將角色信息存入 Claims
        return createToken(claims, username, ACCESS_TOKEN_VALIDITY);
    }
 
    // 生成 Refresh Token(僅包含用戶(hù)身份,無(wú)權(quán)限信息)
    public String generateRefreshToken(String username) {
        return createToken(new HashMap<>(), username, REFRESH_TOKEN_VALIDITY); // 空 Claims,僅存儲(chǔ) subject(用戶(hù)名)
    }
}

二、Access Token 過(guò)期時(shí)的刷新邏輯

1. 刷新 Token 的接口設(shè)計(jì)

當(dāng)客戶(hù)端檢測(cè)到 Access Token 過(guò)期時(shí),攜帶 Refresh Token 調(diào)用刷新接口,獲取新的 Access Token(可選:同時(shí)刷新 Refresh Token)。

@PostMapping("/refresh-token")
public ResponseEntity<Map<String, String>> refreshToken(@RequestHeader("Refresh-Token") String refreshToken) {
    // 1. 驗(yàn)證 Refresh Token 有效性
    if (!jwtUtil.validateToken(refreshToken)) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
 
    // 2. 從 Refresh Token 中獲取用戶(hù)名
    String username = jwtUtil.getUsernameFromToken(refreshToken);
 
    // 3. 查詢(xún)用戶(hù)信息(獲取角色等權(quán)限信息)
    User user = userService.getUserByUsername(username);
    if (user == null) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
 
    // 4. 生成新的 Access Token(可選:生成新的 Refresh Token)
    String newAccessToken = jwtUtil.generateAccessToken(username, user.getRoles());
    String newRefreshToken = jwtUtil.generateRefreshToken(username); // 可選:每次刷新時(shí)更換 Refresh Token
 
    // 5. 返回新 Token(示例:僅返回新 Access Token,或同時(shí)返回新 Refresh Token)
    Map<String, String> newTokenMap = new HashMap<>();
    newTokenMap.put("accessToken", newAccessToken);
    newTokenMap.put("refreshToken", newRefreshToken); // 可選
    return ResponseEntity.ok(newTokenMap);
}

2. 刷新策略說(shuō)明

  • 是否刷新 Refresh Token

    • 不刷新:Refresh Token 有效期內(nèi)可重復(fù)使用(簡(jiǎn)單但存在安全風(fēng)險(xiǎn),若 Refresh Token 泄露,攻擊者可長(zhǎng)期使用)。
    • 刷新:每次調(diào)用刷新接口時(shí)生成新的 Refresh Token(需在數(shù)據(jù)庫(kù)或緩存中維護(hù) Refresh Token 的有效性,例如存儲(chǔ)每個(gè)用戶(hù)的最新 Refresh Token)。

    推薦方案:每次刷新時(shí)生成新的 Refresh Token,并在服務(wù)端維護(hù)一個(gè) Refresh Token 黑名單 或 用戶(hù)當(dāng)前有效 Refresh Token,防止舊 Token 被濫用。

三、Token 的存儲(chǔ)與傳輸

1. 客戶(hù)端存儲(chǔ)方式

  • Access Token:通常存儲(chǔ)在內(nèi)存(如 Vuex/Redux)或 LocalStorage 中,用于每次請(qǐng)求的 Authorization 頭。
  • Refresh Token:為增強(qiáng)安全性,建議存儲(chǔ)在 HttpOnly Cookie 中,避免 XSS 攻擊。若無(wú)法使用 Cookie,可存儲(chǔ)在安全的客戶(hù)端存儲(chǔ)中(如加密的 LocalStorage),但需注意 CSRF 防護(hù)。

2. 請(qǐng)求頭攜帶方式

Authorization: Bearer <Access Token>
Refresh-Token: <Refresh Token> // 刷新接口使用

四、安全增強(qiáng)措施

1. Refresh Token 黑名單

  • 場(chǎng)景:用戶(hù)登出、Refresh Token 泄露時(shí),需立即失效舊 Token。
  • 實(shí)現(xiàn):使用 Redis 緩存存儲(chǔ)已失效的 Refresh Token,設(shè)置與 Refresh Token 相同的過(guò)期時(shí)間。刷新接口中先檢查 Token 是否在黑名單中。
// 登出時(shí)將 Refresh Token 加入黑名單
@PostMapping("/logout")
public ResponseEntity<Void> logout(@RequestHeader("Refresh-Token") String refreshToken) {
    redisTemplate.opsForValue().set("blacklist:" + refreshToken, "invalid", REFRESH_TOKEN_VALIDITY, TimeUnit.MILLISECONDS);
    return ResponseEntity.ok().build();
}
 
// 刷新接口中檢查黑名單
public boolean isRefreshTokenBlacklisted(String refreshToken) {
    return redisTemplate.hasKey("blacklist:" + refreshToken);
}

2. 設(shè)備標(biāo)識(shí)綁定

為每個(gè)用戶(hù)會(huì)話(huà)生成唯一的設(shè)備標(biāo)識(shí)(如 UUID),存儲(chǔ)在 Refresh Token 的 Claims 中,并在服務(wù)端關(guān)聯(lián)用戶(hù)和設(shè)備標(biāo)識(shí)。刷新時(shí)驗(yàn)證設(shè)備標(biāo)識(shí)是否匹配,防止跨設(shè)備偽造。

// 登錄時(shí)生成設(shè)備標(biāo)識(shí)
String deviceId = UUID.randomUUID().toString();
claims.put("deviceId", deviceId); // 存入 Refresh Token 的 Claims
 
// 刷新時(shí)驗(yàn)證設(shè)備標(biāo)識(shí)
String storedDeviceId = (String) getAllClaimsFromToken(refreshToken).get("deviceId");
if (!storedDeviceId.equals(user.getCurrentDeviceId())) {
    return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}

五、結(jié)合 RBAC 的權(quán)限控制

在 Spring Security 的配置中,通過(guò) hasRole 或 hasAuthority 方法校驗(yàn) Access Token 中的角色信息,實(shí)現(xiàn) RBAC 權(quán)限控制(如上述代碼中的 SecurityConfig)。

// SecurityConfig 中配置角色權(quán)限
.antMatchers("/api/admin/**").hasRole("ADMIN") // 要求角色為 ADMIN
.antMatchers("/api/user/**").hasAnyRole("ADMIN", "USER") // 要求角色為 ADMIN 或 USER

總結(jié):雙簽發(fā)認(rèn)證核心流程

  1. 登錄:驗(yàn)證用戶(hù)憑證 → 生成 Access Token(含角色)和 Refresh Token(含用戶(hù)身份)→ 返回客戶(hù)端。
  2. 正常請(qǐng)求:客戶(hù)端攜帶 Access Token → 服務(wù)端驗(yàn)證有效性 → 校驗(yàn)角色權(quán)限 → 允許訪(fǎng)問(wèn)。
  3. Token 過(guò)期:客戶(hù)端攜帶 Refresh Token → 服務(wù)端驗(yàn)證有效性 → 生成新的 Access Token(可選新 Refresh Token)→ 返回客戶(hù)端。
  4. 安全防護(hù):通過(guò) HttpOnly Cookie、黑名單、設(shè)備綁定等機(jī)制增強(qiáng) Token 安全性。

通過(guò)以上步驟,可在 Java 項(xiàng)目中實(shí)現(xiàn)基于 JWT 的雙簽發(fā)認(rèn)證,并結(jié)合 RBAC 實(shí)現(xiàn)細(xì)粒度權(quán)限控制。

到此這篇關(guān)于Java中JWT雙簽發(fā)認(rèn)證過(guò)程的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Java JWT雙簽發(fā)認(rèn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Java中List根據(jù)條件刪除元素的幾種方式

    Java中List根據(jù)條件刪除元素的幾種方式

    java List刪除指定元素有四種方法,分別是普通for循環(huán),增強(qiáng)for循環(huán),CopyOnWriteArrayList以及原生的Iterator迭代器循環(huán)來(lái)刪除list中指定的某個(gè)元素,非常的簡(jiǎn)單,并通過(guò)代碼示例講解的非常詳細(xì),需要的朋友可以參考下
    2024-04-04
  • java中Serializable接口作用詳解

    java中Serializable接口作用詳解

    這篇文章主要為大家詳細(xì)介紹了java中Serializable接口作用,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下
    2017-05-05
  • Java?工具類(lèi)實(shí)現(xiàn)音頻音量提升

    Java?工具類(lèi)實(shí)現(xiàn)音頻音量提升

    本文主要介紹了可以將音頻提升音量的一個(gè)java工具類(lèi)示例代碼,代碼具有一定的學(xué)習(xí)價(jià)值,感興趣的小伙伴來(lái)了解一下吧,,希望能夠給你帶來(lái)幫助
    2021-11-11
  • 一文詳解Java中Stream流的使用

    一文詳解Java中Stream流的使用

    JDK8新增了Stream(流操作)處理集合的數(shù)據(jù),可執(zhí)行查找、過(guò)濾和映射數(shù)據(jù)等操作.本文將通過(guò)一些實(shí)例介紹stream流的使用,需要的可以參考一下
    2022-05-05
  • 淺談SpringCloud之Ribbon詳解

    淺談SpringCloud之Ribbon詳解

    這篇文章主要介紹了淺談SpringCloud之Ribbon,文中有非常詳細(xì)的代碼示例,對(duì)正在學(xué)習(xí)SpringCloud的小伙伴們有很大的幫助,需要的朋友可以參考下
    2021-05-05
  • springboot jdbctemplate如何實(shí)現(xiàn)多數(shù)據(jù)源

    springboot jdbctemplate如何實(shí)現(xiàn)多數(shù)據(jù)源

    這篇文章主要介紹了springboot jdbctemplate如何實(shí)現(xiàn)多數(shù)據(jù)源問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2024-07-07
  • Java利用文件輸入輸出流實(shí)現(xiàn)文件夾內(nèi)所有文件拷貝到另一個(gè)文件夾

    Java利用文件輸入輸出流實(shí)現(xiàn)文件夾內(nèi)所有文件拷貝到另一個(gè)文件夾

    這篇文章主要介紹了Java實(shí)現(xiàn)文件夾內(nèi)所有文件拷貝到另一個(gè)文件夾,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下
    2018-03-03
  • java中同類(lèi)對(duì)象之間的compareTo()和compare()方法對(duì)比分析

    java中同類(lèi)對(duì)象之間的compareTo()和compare()方法對(duì)比分析

    這篇文章主要介紹了java中同類(lèi)對(duì)象之間的compareTo()和compare()方法對(duì)比分析,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧
    2020-09-09
  • springboot項(xiàng)目如何防止XSS攻擊

    springboot項(xiàng)目如何防止XSS攻擊

    XSS攻擊全稱(chēng)跨站腳本攻擊,是一種在web應(yīng)用中的計(jì)算機(jī)安全漏洞,允許惡意web用戶(hù)將代碼植入到提供給其它用戶(hù)使用的頁(yè)面中。本文介紹防止XSS攻擊的方法
    2021-06-06
  • Java常用線(xiàn)程池原理及使用方法解析

    Java常用線(xiàn)程池原理及使用方法解析

    這篇文章主要介紹了Java常用線(xiàn)程池原理及使用方法解析,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下
    2020-07-07

最新評(píng)論