Spring Boot中集成JWT实现用户认证以及单点登录

在Spring Boot中集成JWT（JSON Web Tokens）以实现单点登录（SSO, Single Sign-On）和前后端分离的验证是一个常见的做法。JWT允许你在前后端之间安全地传输用户信息，无需在服务器端存储会话信息。

以下是一个简化的步骤指南，用于在Spring Boot应用程序中集成JWT实现单点登录和前后端分离的验证：

1. 添加依赖

首先，在pom.xml（Maven）或build.gradle（Gradle）中添加JWT相关的依赖，如jjwt（Java JWT）或spring-security-oauth2（如果你使用的是Spring Security OAuth2）。

对于Maven，可以添加jjwt的依赖：

xml 复制代码

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version> <!-- 请检查并使用最新版本 -->
</dependency>

2. 配置JWT

创建一个配置类来定义JWT的密钥、有效期等属性。

java 复制代码

@Configuration
public class JwtConfig {

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private Long expiration;

    // ... 其他配置 ...

    @Bean
    public JwtTokenUtil jwtTokenUtil() {
        return new JwtTokenUtil(secret, expiration);
    }
}

这里假设你有一个JwtTokenUtil类来处理JWT的生成和验证。

3. 实现JWT工具类

创建一个工具类来处理JWT的生成和验证。

java 复制代码

public class JwtTokenUtil {

    private String secret;
    private Long expiration;

    // 构造函数、getter和setter方法...

    public String generateToken(UserDetails userDetails) {
        // 根据用户信息生成JWT
    }

    public Claims parseToken(String token) {
        // 解析JWT并返回Claims对象
    }

    public boolean validateToken(String token, UserDetails userDetails) {
        // 验证JWT是否有效，是否与提供的用户信息匹配
    }
}

4. 实现认证和授权

使用Spring Security来实现用户的认证和授权。创建一个配置类来扩展WebSecurityConfigurerAdapter。

java 复制代码

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // ... 其他配置 ...

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // ... 其他配置 ...
            .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll() // 允许所有用户访问认证端点
                .anyRequest().authenticated() // 其他请求需要认证
            .and()
                .addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class); // 添加JWT过滤器
    }

    @Bean
    public JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter() {
        return new JwtAuthenticationTokenFilter(jwtTokenStore(), userDetailsService());
    }

    // ... 其他配置方法 ...
}

在这里，你需要实现一个JwtAuthenticationTokenFilter类，它继承自OncePerRequestFilter或实现Filter接口，用于在每次请求时验证JWT。

5. 实现用户服务

实现一个UserDetailsService来加载用户信息。

java 复制代码

@Service
public class CustomUserDetailsService implements UserDetailsService {

    // ... 加载用户信息并返回UserDetails对象 ...
}

6. 前端处理

在前端，当用户登录成功后，服务器会返回一个JWT。前端需要将这个JWT保存在本地（如localStorage或sessionStorage），并在每次请求时将其包含在请求的头部（如Authorization: Bearer <token>）。

7. 测试和部署

最后，测试你的应用程序以确保JWT认证和授权按预期工作，并准备部署到生产环境。

注意事项

确保JWT的密钥（secret）是安全的，不要将其硬编码在代码中或暴露给客户端。
设置适当的JWT有效期，避免过长的有效期带来的安全风险。
在生产环境中使用HTTPS来保护JWT在传输过程中的安全性。
考虑使用spring-security-oauth2或类似的库来简化OAuth2和JWT的集成。但请注意，Spring Security OAuth2项目已于2021年停止维护，并推荐使用Spring Authorization Server或其他替代方案。