公司官方网站制作软件外包公司排行榜
🌐Spring Security + JWT 实现前后端分离权限控制实战教程
在前后端分离项目中,传统的基于 Session 的认证方式已不再适用。取而代之的是更加轻量、高效的 JWT(JSON Web Token)方式来实现无状态认证。本篇将手把手教你用 Spring Security + JWT 搭建一套完整的登录认证与权限控制体系。
一、为什么要用 JWT?
🌀 前后端分离架构的挑战
- 无法使用 Session 管理登录状态(前端和后端分离、跨域)
- 需要一种「无状态认证机制」
✅ JWT 的优势
- 无需在服务端存储会话信息(Token 自包含)
- 结构清晰,支持权限声明(claims)
- 可扩展性强,可用于 OAuth、SSO 等场景
二、JWT 基本结构
一个 JWT Token 一般分为三段:
Header.Payload.Signature
例如:
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyIiwiaWF0IjoxNjg3NjQ5fQ.K4KgD1sE0JQzA1K6k-FaSd56fQ
每部分作用:
| 部分 | 内容 |
|---|---|
| Header | 签名算法,如 HS256 |
| Payload | 载荷(如用户名、角色、过期时间) |
| Signature | 签名(防止篡改) |
三、集成 JWT 的 Spring Security 权限控制思路
整体流程如下:
前端登录 -> 后端验证用户 -> 生成 JWT -> 返回给前端 -> 前端每次请求携带 Token -> 后端解析验证并授权
四、核心模块代码实战
1. 引入依赖(Spring Boot 3.x 示例)
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-api</artifactId><version>0.11.5</version>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-impl</artifactId><version>0.11.5</version><scope>runtime</scope>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-jackson</artifactId><version>0.11.5</version><scope>runtime</scope>
</dependency>
2. JWT 工具类
@Component
public class JwtUtil {private final String SECRET = "MyJwtSecretKey123"; // 建议放到配置文件中private final long EXPIRATION = 1000 * 60 * 60; // 1小时public String generateToken(String username) {return Jwts.builder().setSubject(username).setIssuedAt(new Date()).setExpiration(new Date(System.currentTimeMillis() + EXPIRATION)).signWith(SignatureAlgorithm.HS256, SECRET).compact();}public String getUsernameFromToken(String token) {return Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody().getSubject();}public boolean validateToken(String token) {try {Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token);return true;} catch (Exception e) {return false;}}
}
3. 自定义登录接口生成 Token
@RestController
public class AuthController {@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate JwtUtil jwtUtil;@PostMapping("/login")public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) {try {Authentication auth = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword()));String token = jwtUtil.generateToken(loginRequest.getUsername());return ResponseEntity.ok(Collections.singletonMap("token", token));} catch (AuthenticationException e) {return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("用户名或密码错误");}}
}
4. JWT 认证过滤器
@Component
public class JwtAuthFilter extends OncePerRequestFilter {@Autowiredprivate JwtUtil jwtUtil;@Autowiredprivate UserDetailsService userDetailsService;@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)throws ServletException, IOException {String authHeader = request.getHeader("Authorization");if (authHeader != null && authHeader.startsWith("Bearer ")) {String token = authHeader.substring(7);String username = jwtUtil.getUsernameFromToken(token);if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {UserDetails userDetails = userDetailsService.loadUserByUsername(username);if (jwtUtil.validateToken(token)) {UsernamePasswordAuthenticationToken authToken =new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());authToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));SecurityContextHolder.getContext().setAuthentication(authToken);}}}chain.doFilter(request, response);}
}
5. 配置 SecurityFilterChain
@Configuration
@EnableMethodSecurity
public class SecurityConfig {@Autowiredprivate JwtAuthFilter jwtAuthFilter;@Beanpublic SecurityFilterChain filterChain(HttpSecurity http) throws Exception {return http.csrf(csrf -> csrf.disable()).authorizeHttpRequests(auth -> auth.requestMatchers("/login").permitAll().anyRequest().authenticated()).sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)).addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class).build();}@Beanpublic AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {return config.getAuthenticationManager();}
}
五、前端如何配合使用?
- 登录后保存返回的
token - 所有后续请求在 header 中添加:
Authorization: Bearer <你的 token>
六、权限控制示例
@RestController
public class UserController {@PreAuthorize("hasRole('ADMIN')")@GetMapping("/admin/data")public String adminData() {return "管理员数据";}@PreAuthorize("hasAnyRole('USER','ADMIN')")@GetMapping("/user/data")public String userData() {return "用户数据";}
}
七、总结
JWT 与 Spring Security 的结合,可以帮助你构建一个无状态、安全、高效的前后端分离权限系统。它简化了登录状态的管理流程,提高了系统的伸缩性与并发处理能力。