从入门到实战：JWT 令牌在 Web 开发中的应用指南

---

从入门到实战：JWT 令牌在 Web 开发中的应用指南

---

1. JWT 是什么？为什么需要它？

JWT（JSON Web Token） 是一种轻量级的开放标准（RFC 7519），用于在各方之间安全传输 JSON 格式的信息。它通过数字签名（如 HMAC 或 RSA）确保数据的完整性和可信性，广泛应用于身份认证和授权场景。

传统会话管理的痛点：

• 服务端存储压力：Session 需存储在服务器内存或数据库中，高并发时扩展困难。
• 跨域限制：Cookie 的跨域限制导致分布式系统认证复杂。
• 移动端适配差：APP 等非浏览器环境难以维护 Cookie。

JWT 的优势：

• 无状态：服务端无需存储会话信息，降低服务器压力。
• 跨平台支持：天然适配移动端、微服务、单页面应用（SPA）。
• 灵活性：Payload 可自定义字段（如用户角色、权限）。

典型应用场景：

• RESTful API 认证
• 单点登录（SSO）
• 微服务间安全通信

---

2. JWT 的核心概念

2.1 组成结构
JWT 由三部分组成，通过 . 分隔：

Header.Payload.Signature

• Header：声明令牌类型和签名算法（如 HS256）。

  {
    "alg": "HS256",
    "typ": "JWT"
  }
  

• Payload：存储用户信息和其他元数据（如 sub、iat、exp）。

  {
    "sub": "user123",
    "name": "Alice",
    "iat": 1717030000,
    "exp": 1717033600
  }
  

• Signature：对 Header 和 Payload 的签名，防止数据篡改。

  HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secretKey)
  

2.2 签名 vs 加密

• 签名（如 HS256）：验证数据完整性，不隐藏数据内容。
• 加密（如 RS256）：用公钥/私钥加密数据，确保机密性。

2.3 无状态特性
服务端无需存储会话状态，适合分布式系统和水平扩展。

---

3. 环境准备

3.1 选择开发框架
本文以 Spring Boot（Java）和 Node.js 为例。

3.2 安装依赖

• Spring Boot（Maven）：

  <dependency>
      <groupId>io.jsonwebtokengroupId>
      <artifactId>jjwt-apiartifactId>
      <version>0.11.5version>
  dependency>
  <dependency>
      <groupId>io.jsonwebtokengroupId>
      <artifactId>jjwt-implartifactId>
      <version>0.11.5version>
      <scope>runtimescope>
  dependency>
  

• Node.js（npm）：

  npm install jsonwebtoken
  

3.3 配置密钥

• Java（application.properties）：

  jwt.secret=MySuperSecretKey123!@#
  jwt.expiration=86400000  # 24小时
  

• Node.js（.env）：

  JWT_SECRET=MySuperSecretKey123!@#
  JWT_EXPIRES_IN=86400  # 24小时（秒）
  

---

4. JWT 的基础操作

4.1 生成令牌

• Java：

  public String generateToken(String username) {
      return Jwts.builder()
              .setSubject(username)
              .setIssuedAt(new Date())
              .setExpiration(new Date(System.currentTimeMillis() + expiration))
              .signWith(SignatureAlgorithm.HS256, secretKey)
              .compact();
  }
  

• Node.js：

  const token = jwt.sign(
    { userId: 123 },
    process.env.JWT_SECRET,
    { expiresIn: process.env.JWT_EXPIRES_IN }
  );
  

4.2 验证令牌

• Java：

  public boolean validateToken(String token) {
      try {
          Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token);
          return true;
      } catch (JwtException e) {
          return false;
      }
  }
  

• Node.js：

  jwt.verify(token, process.env.JWT_SECRET, (err, decoded) => {
      if (err) throw new Error("Invalid token");
  });
  

4.3 解析令牌

• Java：

  public String getUsernameFromToken(String token) {
      return Jwts.parser()
              .setSigningKey(secretKey)
              .parseClaimsJws(token)
              .getBody()
              .getSubject();
  }
  

• Node.js：

  const decoded = jwt.decode(token);
  console.log(decoded.userId);  // 123
  

---

5. JWT 在 Spring Boot 中的集成

5.1 创建 JWT 工具类
完整代码参考第 4 节示例。

5.2 配置 Spring Security

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
                .antMatchers("/api/login").permitAll()
                .anyRequest().authenticated()
            .and()
            .addFilterBefore(jwtFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    private Filter jwtFilter() {
        return new OncePerRequestFilter() {
            @Override
            protected void doFilterInternal(HttpServletRequest request, 
                                            HttpServletResponse response, 
                                            FilterChain chain) throws IOException, ServletException {
                // 从 Header 提取并验证令牌
                String token = extractToken(request);
                if (token != null && jwtUtils.validateToken(token)) {
                    // 设置认证信息
                    Authentication auth = new UsernamePasswordAuthenticationToken(
                        jwtUtils.getUsernameFromToken(token), null, Collections.emptyList());
                    SecurityContextHolder.getContext().setAuthentication(auth);
                }
                chain.doFilter(request, response);
            }
        };
    }
}

5.3 登录接口返回 JWT

@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody LoginRequest request) {
    // 1. 验证用户名密码
    if (authenticate(request.getUsername(), request.getPassword())) {
        // 2. 生成 JWT
        String token = jwtUtils.generateToken(request.getUsername());
        return ResponseEntity.ok(new JwtResponse(token));
    }
    return ResponseEntity.status(401).body("认证失败");
}

---

6. 高级功能与最佳实践

6.1 令牌刷新机制

• 登录时返回两个令牌：access_token（短期有效）和 refresh_token（长期有效）。
• 客户端在 access_token 过期后，使用 refresh_token 换取新令牌。

6.2 权限控制

@GetMapping("/admin")
@PreAuthorize("hasRole('ADMIN')")
public String adminOnly() {
    return "管理员专属内容";
}

6.3 异常处理

@ControllerAdvice
public class GlobalExceptionHandler {
    @ExceptionHandler(value = {ExpiredJwtException.class, SignatureException.class})
    public ResponseEntity<String> handleJwtException(Exception ex) {
        return ResponseEntity.status(401).body("令牌无效或已过期");
    }
}

6.4 安全加固

• 密钥管理：通过环境变量注入，禁止硬编码。
• HTTPS：强制使用 HTTPS 传输 JWT。
• 存储策略：前端使用 HttpOnly Cookie 或 localStorage + CSRF 防护。

---

7. 常见问题与解决方案

问题1：令牌解析失败

• 原因：密钥不匹配、令牌过期、签名错误。
• 解决：检查密钥配置，使用 jwt.io 调试令牌。

问题2：跨域（CORS）

• Spring Boot 配置：

  @Bean
  public CorsFilter corsFilter() {
      CorsConfiguration config = new CorsConfiguration();
      config.addAllowedOrigin("*");
      config.addAllowedHeader("*");
      config.addAllowedMethod("*");
      UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
      source.registerCorsConfiguration("/**", config);
      return new CorsFilter(source);
  }
  

问题3：性能优化

• 缓存用户信息：解析 JWT 后缓存用户权限，减少数据库查询。
• 黑名单机制：对主动注销的令牌进行短期缓存拦截。

---

8. JWT 的局限性与替代方案

局限性：

• 令牌无法撤销：需结合黑名单或设置短有效期。
• 数据泄露风险：Payload 默认未加密，敏感信息需自行加密。

替代方案：

• OAuth2 + JWT：适用于第三方应用授权（如微信登录）。
• Session：适合需要即时撤销权限的场景。

---

9. 总结与扩展学习

核心价值：

• 简化认证流程，提升系统扩展性。
• 统一多端认证方案，降低维护成本。

推荐资源：

• JWT 官方文档
• RFC 7519 标准
• Spring Security 实战指南

---

流程图：JWT 认证流程

Client Server Database POST /login (用户名密码) 验证用户 返回用户数据 生成 JWT 返回 JWT GET /protected (Header: Bearer ) 验证 JWT 签名和有效期 返回受保护资源 Client Server Database

---

立即行动：

• 在项目中集成 JWT，体验无状态认证的高效！
• 访问 GitHub 示例代码 快速上手。

---

让安全与便捷并存，JWT 助您构建现代化 Web 应用！