在将传统的基于 Session 的用户认证系统迁移到基于 JWT(JSON Web Token)的无状态认证架构时,开发者经常会遇到两个典型问题。本文将围绕这两个核心问题展开说明,并介绍登录后如何正确携带 JWT 进行请求认证,以及如何从 Spring Security 上下文中安全地获取当前用户信息。
问题一:明文密码无法正确匹配
在旧系统中,用户密码以明文形式 直接存储在数据库中。当你引入 Spring Security 并使用 BCryptPasswordEncoder(或其他加密方式)对新注册用户的密码进行加密存储后,系统在验证用户登录时会自动对输入的原始密码进行加密,再与数据库中的密文比对。
然而,对于那些历史用户(其密码仍为明文),这种机制就会失败------因为系统尝试用加密后的输入去匹配未加密的数据库字段,自然无法通过验证。
因此,请确保数据库中所有用户的密码字段均为加密后的字符串 。只有这样,DaoAuthenticationProvider 才能通过 passwordEncoder.matches(rawPassword, encodedPassword) 正确完成验证。
问题二:UserDetails 实现类中的账户状态方法返回了错误值
在你的 UserDetailsImpl 类中,虽然代码看起来已经返回 true,但你提到"忘记修改让它恢复正常"。这通常是因为在早期开发阶段,为了快速测试,可能曾将这些方法硬编码为 false,导致 Spring Security 认为账户已过期、被锁定或凭证失效,从而拒绝登录。
Spring Security 在认证成功前会检查以下四个方法:
isAccountNonExpired():账户是否未过期isAccountNonLocked():账户是否未被锁定isCredentialsNonExpired():凭证(如密码)是否未过期isEnabled():账户是否启用
只要其中任意一个返回 false,认证就会失败,并抛出相应异常(如 AccountExpiredException)。
正确做法:
确保这四个方法全部返回 true(除非你有明确的业务逻辑需要控制账户状态):
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}这样,只要用户名和密码正确,用户就能顺利通过认证并获得 JWT Token。
登录成功后:前端如何携带 JWT 发起受保护请求
一旦用户登录成功,后端会返回一个 JWT Token。前端需将其保存(通常存入 Vuex/Pinia 的 store 或 localStorage),并在后续每个需要认证的 API 请求中,通过 Authorization Header 携带该 Token:
const token = this.$store.state.user.token;
const linksResponse = await fetch("http://127.0.0.1:3000/api/link/all", {
headers: {
"Authorization": "Bearer " + token,
"X-Request-ID": "test-" + Date.now(),
}
});✅ 格式必须为:
Authorization: Bearer <your-jwt-token>后端的 JWT 过滤器(如
JwtAuthenticationFilter)会从中提取 Token,验证签名和有效期,并重建Authentication对象放入SecurityContext。
进阶:在后端从 Security 上下文中获取当前用户信息
当请求携带有效 JWT 并通过认证后,Spring Security 会将认证信息存入当前线程的 SecurityContext。你可以在任何 Controller 或 Service 中安全地获取当前登录用户:
UsernamePasswordAuthenticationToken authentication =
(UsernamePasswordAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
UserDetailsImpl loginUser = (UserDetailsImpl) authentication.getPrincipal();
User user = loginUser.getUser();这段代码的前提是:
- 你的
UserDetailsImpl被正确设置为Principal - JWT 认证过滤器在验证 Token 后,构建了包含该
UserDetailsImpl的Authentication对象
此时,user 对象即为当前操作用户,可直接用于业务逻辑(如权限校验、数据归属等)。