脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → Java JWT双签发认证

Java中JWT双签发认证过程的实现

 更新时间:2025年08月24日 10:50:39   作者:hqxstudying  
在Java项目中实现JWT双签发认证(即同时生成Access Token和Refresh Token),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

在 Java 项目中实现 JWT 双签发认证(即同时生成 Access Token 和 Refresh Token),核心流程包括 登录时双 Token 生成Token 过期时的刷新逻辑以及 Token 的存储与验证。以下是结合上述代码的详细实现步骤和关键逻辑说明:

一、登录时生成双 Token

1. 登录接口逻辑

用户提交用户名和密码后,服务端验证凭证有效性。若验证通过,调用 JwtUtil 生成 Access Token 和 Refresh Token,并返回给客户端。

@RestController
@RequestMapping("/api/auth")
public class AuthController {
    private final UserService userService;
    private final JwtUtil jwtUtil;
 
    @PostMapping("/login")
    public ResponseEntity<Map<String, String>> login(@RequestBody LoginRequest request) {
        // 1. 验证用户名和密码
        User user = userService.authenticate(request.getUsername(), request.getPassword());
        if (user == null) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
        }
 
        // 2. 生成双 Token
        String accessToken = jwtUtil.generateAccessToken(user.getUsername(), user.getRoles());
        String refreshToken = jwtUtil.generateRefreshToken(user.getUsername());
 
        // 3. 返回 Token(示例:以 JSON 格式返回)
        Map<String, String> tokenMap = new HashMap<>();
        tokenMap.put("accessToken", accessToken);
        tokenMap.put("refreshToken", refreshToken);
        return ResponseEntity.ok(tokenMap);
    }
}

2.JwtUtil中的双 Token 生成逻辑

  • Access Token:包含用户角色和权限信息,有效期短(如 15 分钟)。
  • Refresh Token:仅包含用户身份(用户名),有效期长(如 7 天),用于刷新 Access Token。
@Component
public class JwtUtil {
    // 省略已定义的常量和工具方法...
 
    // 生成 Access Token(包含角色信息)
    public String generateAccessToken(String username, String roles) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("roles", roles); // 将角色信息存入 Claims
        return createToken(claims, username, ACCESS_TOKEN_VALIDITY);
    }
 
    // 生成 Refresh Token(仅包含用户身份,无权限信息)
    public String generateRefreshToken(String username) {
        return createToken(new HashMap<>(), username, REFRESH_TOKEN_VALIDITY); // 空 Claims,仅存储 subject(用户名)
    }
}

二、Access Token 过期时的刷新逻辑

1. 刷新 Token 的接口设计

当客户端检测到 Access Token 过期时,携带 Refresh Token 调用刷新接口,获取新的 Access Token(可选:同时刷新 Refresh Token)。

@PostMapping("/refresh-token")
public ResponseEntity<Map<String, String>> refreshToken(@RequestHeader("Refresh-Token") String refreshToken) {
    // 1. 验证 Refresh Token 有效性
    if (!jwtUtil.validateToken(refreshToken)) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
 
    // 2. 从 Refresh Token 中获取用户名
    String username = jwtUtil.getUsernameFromToken(refreshToken);
 
    // 3. 查询用户信息(获取角色等权限信息)
    User user = userService.getUserByUsername(username);
    if (user == null) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
 
    // 4. 生成新的 Access Token(可选:生成新的 Refresh Token)
    String newAccessToken = jwtUtil.generateAccessToken(username, user.getRoles());
    String newRefreshToken = jwtUtil.generateRefreshToken(username); // 可选:每次刷新时更换 Refresh Token
 
    // 5. 返回新 Token(示例:仅返回新 Access Token,或同时返回新 Refresh Token)
    Map<String, String> newTokenMap = new HashMap<>();
    newTokenMap.put("accessToken", newAccessToken);
    newTokenMap.put("refreshToken", newRefreshToken); // 可选
    return ResponseEntity.ok(newTokenMap);
}

2. 刷新策略说明

  • 是否刷新 Refresh Token

    • 不刷新:Refresh Token 有效期内可重复使用(简单但存在安全风险,若 Refresh Token 泄露,攻击者可长期使用)。
    • 刷新:每次调用刷新接口时生成新的 Refresh Token(需在数据库或缓存中维护 Refresh Token 的有效性,例如存储每个用户的最新 Refresh Token)。

    推荐方案:每次刷新时生成新的 Refresh Token,并在服务端维护一个 Refresh Token 黑名单 或 用户当前有效 Refresh Token,防止旧 Token 被滥用。

三、Token 的存储与传输

1. 客户端存储方式

  • Access Token:通常存储在内存(如 Vuex/Redux)或 LocalStorage 中,用于每次请求的 Authorization 头。
  • Refresh Token:为增强安全性,建议存储在 HttpOnly Cookie 中,避免 XSS 攻击。若无法使用 Cookie,可存储在安全的客户端存储中(如加密的 LocalStorage),但需注意 CSRF 防护。

2. 请求头携带方式

Authorization: Bearer <Access Token>
Refresh-Token: <Refresh Token> // 刷新接口使用

四、安全增强措施

1. Refresh Token 黑名单

  • 场景:用户登出、Refresh Token 泄露时,需立即失效旧 Token。
  • 实现:使用 Redis 缓存存储已失效的 Refresh Token,设置与 Refresh Token 相同的过期时间。刷新接口中先检查 Token 是否在黑名单中。
// 登出时将 Refresh Token 加入黑名单
@PostMapping("/logout")
public ResponseEntity<Void> logout(@RequestHeader("Refresh-Token") String refreshToken) {
    redisTemplate.opsForValue().set("blacklist:" + refreshToken, "invalid", REFRESH_TOKEN_VALIDITY, TimeUnit.MILLISECONDS);
    return ResponseEntity.ok().build();
}
 
// 刷新接口中检查黑名单
public boolean isRefreshTokenBlacklisted(String refreshToken) {
    return redisTemplate.hasKey("blacklist:" + refreshToken);
}

2. 设备标识绑定

为每个用户会话生成唯一的设备标识(如 UUID),存储在 Refresh Token 的 Claims 中,并在服务端关联用户和设备标识。刷新时验证设备标识是否匹配,防止跨设备伪造。

// 登录时生成设备标识
String deviceId = UUID.randomUUID().toString();
claims.put("deviceId", deviceId); // 存入 Refresh Token 的 Claims
 
// 刷新时验证设备标识
String storedDeviceId = (String) getAllClaimsFromToken(refreshToken).get("deviceId");
if (!storedDeviceId.equals(user.getCurrentDeviceId())) {
    return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}

五、结合 RBAC 的权限控制

在 Spring Security 的配置中,通过 hasRole 或 hasAuthority 方法校验 Access Token 中的角色信息,实现 RBAC 权限控制(如上述代码中的 SecurityConfig)。

// SecurityConfig 中配置角色权限
.antMatchers("/api/admin/**").hasRole("ADMIN") // 要求角色为 ADMIN
.antMatchers("/api/user/**").hasAnyRole("ADMIN", "USER") // 要求角色为 ADMIN 或 USER

总结:双签发认证核心流程

  1. 登录:验证用户凭证 → 生成 Access Token(含角色)和 Refresh Token(含用户身份)→ 返回客户端。
  2. 正常请求:客户端携带 Access Token → 服务端验证有效性 → 校验角色权限 → 允许访问。
  3. Token 过期:客户端携带 Refresh Token → 服务端验证有效性 → 生成新的 Access Token(可选新 Refresh Token)→ 返回客户端。
  4. 安全防护:通过 HttpOnly Cookie、黑名单、设备绑定等机制增强 Token 安全性。

通过以上步骤,可在 Java 项目中实现基于 JWT 的双签发认证,并结合 RBAC 实现细粒度权限控制。

到此这篇关于Java中JWT双签发认证过程的实现的文章就介绍到这了,更多相关Java JWT双签发认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • SpringBoot 项目的创建与启动步骤详解

    SpringBoot 项目的创建与启动步骤详解

    这篇文章主要介绍了SpringBoot 项目的创建与启动,本文分步骤给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2023-03-03
  • Spring框架学习常用注解汇总

    Spring框架学习常用注解汇总

    这篇文章主要为大家介绍了Spring框架学习中一些经常用的注解汇总及示例解析,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步
    2021-10-10
  • solr在java中的使用实例代码

    solr在java中的使用实例代码

    本篇文章主要介绍了solr在java中的使用实例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-06-06
  • SpringCloud Feign转发请求头(防止session失效)的解决方案

    SpringCloud Feign转发请求头(防止session失效)的解决方案

    这篇文章主要介绍了SpringCloud Feign转发请求头(防止session失效)的解决方案,本文给大家分享两种解决方案供大家参考,感兴趣的朋友跟随小编一起看看吧
    2020-10-10
  • java.io.IOException:你的主机中的软件中止了一个已建立的连接踩坑实战

    java.io.IOException:你的主机中的软件中止了一个已建立的连接踩坑实战

    最近在工作中遇到了个问题,分享给同样遇到问题的同学,这篇文章主要给大家介绍了关于java.io.IOException:你的主机中的软件中止了一个已建立的连接的踩坑实战记录,需要的朋友可以参考下
    2023-03-03
  • java如何获取系统CPU、内存占用

    java如何获取系统CPU、内存占用

    这篇文章主要介绍了java如何获取系统CPU、内存占用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2019-10-10
  • Spring security如何实现记录用户登录时间功能

    Spring security如何实现记录用户登录时间功能

    这篇文章主要介绍了Spring security如何实现记录用户登录时间功能,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-03-03
  • java数组基础详解

    java数组基础详解

    下面小编就为大家带来一篇Java创建数组的几种方式总结。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧,希望能给大家带来帮助
    2021-06-06
  • Spring Boot基于数据库如何实现简单的分布式锁

    Spring Boot基于数据库如何实现简单的分布式锁

    这篇文章主要给大家介绍了关于Spring Boot基于数据库如何实现简单的分布式锁的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
    2019-07-07
  • Spring Boot 统一数据返回格式的解决方案

    Spring Boot 统一数据返回格式的解决方案

    统⼀的数据返回格式使⽤ @ControllerAdvice 和 ResponseBodyAdvice 的⽅式实现,下面给大家分享Spring Boot 统一数据返回格式的解决方案,感兴趣的朋友一起看看吧
    2024-03-03

最新评论