Spring Boot 整合 JWT：实现高效安全的单点登录与授权

一、引言

随着互联网的快速发展，单点登录（SSO）和授权成为企业信息化建设中的重要需求。JWT（JSON Web Token）作为一种轻量级的安全认证协议，因其高效、安全、易于实现等特点，被广泛应用于单点登录与授权领域。本文将结合Spring Boot框架，详细介绍如何实现Spring Boot整合JWT，实现高效安全的单点登录与授权。

二、JWT简介

JWT（JSON Web Token）是一种开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，用于在各方之间以JSON对象的形式安全地传输信息。JWT的主要特点如下：

1. 无需服务器交互：JWT在客户端生成，服务器端验证，无需服务器参与交互，从而提高了系统性能。

2. 自包含：JWT包含用户信息、过期时间、签名等，无需额外查询数据库，减少了查询压力。

3. 安全性高：JWT使用HMAC SHA256算法进行签名，保证了数据的安全性。

4. 易于扩展：JWT支持自定义字段，可以根据实际需求添加更多字段。

三、Spring Boot整合JWT

1. 添加依赖

在Spring Boot项目中，首先需要添加JWT的依赖。这里以Spring Boot 2.1.3版本为例，在pom.xml中添加以下依赖：

```xml

io.jsonwebtoken

jjwt

0.9.1

```

2. 配置JWT工具类

创建一个JWT工具类，用于生成和解析JWT。以下是一个简单的JWT工具类实现：

```java

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import org.springframework.stereotype.Component;

import java.util.Date;

@Component

public class JwtUtil {

private String secret = "your_secret_key"; // 密钥

public String generateToken(String username) {

return Jwts.builder()

.setSubject(username)

.setIssuedAt(new Date(System.currentTimeMillis()))

.setExpiration(new Date(System.currentTimeMillis() + 60 * 60 * 1000)) // 设置过期时间为1小时

.signWith(SignatureAlgorithm.HS256, secret)

.compact();

}

public Claims parseToken(String token) {

return Jwts.parser()

.setSigningKey(secret)

.parseClaimsJws(token)

.getBody();

}

}

```

3. 实现单点登录与授权

在Spring Boot项目中，实现单点登录与授权主要分为以下步骤：

（1）用户登录：用户在客户端输入用户名和密码，发送到服务器进行验证。

（2）生成JWT：服务器验证用户信息后，生成JWT并返回给客户端。

（3）客户端存储JWT：客户端将JWT存储在本地（如localStorage、cookie等）。

（4）请求接口：客户端在请求接口时，携带JWT作为认证信息。

（5）服务器验证JWT：服务器验证JWT的有效性，并根据JWT中的信息进行权限控制。

以下是一个简单的单点登录与授权示例：

```java

@RestController

public class AuthController {

@Autowired

private JwtUtil jwtUtil;

@PostMapping("/login")

public ResponseEntity login(@RequestBody User user) {

// 验证用户信息

if ("admin".equals(user.getUsername()) && "admin".equals(user.getPassword())) {

// 生成JWT

String token = jwtUtil.generateToken(user.getUsername());

return ResponseEntity.ok(token);

} else {

return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("用户名或密码错误");

}

}

@GetMapping("/protected")

public ResponseEntity protectedResource(@RequestHeader("Authorization") String token) {

// 验证JWT

Claims claims = jwtUtil.parseToken(token.replace("Bearer ", ""));

if (claims != null && "admin".equals(claims.getSubject())) {

return ResponseEntity.ok("访问受保护资源成功");

} else {

return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("无权限访问");

}

}

}

```

四、总结

本文详细介绍了Spring Boot整合JWT实现单点登录与授权的方法。通过JWT，我们可以实现高效、安全、易于扩展的单点登录与授权方案。在实际项目中，可以根据需求对JWT进行扩展，以满足更多业务场景。