springboot2多页面应用中,jwt如何解决session失效及安全验证?
传统Session机制在多页面应用中容易失效,导致权限验证问题。本文介绍如何在SpringBoot2多页面应用中,利用JWT (JSON Web Token) 实现安全可靠的验证,避免Session的局限性。
核心策略:在用户登录成功后,服务器生成JWT token并返回给前端。前端每次请求都将token添加到请求头(例如Authorization)。后端自定义过滤器(例如JWTTokenFilter)拦截请求,验证token有效性。验证成功后,将用户信息注入Spring Security的SecurityContextHolder,完成身份验证。
以下代码片段展示自定义JWTTokenFilter:
public class JWTTokenFilter extends BasicAuthenticationFilter {
// ... (省略部分代码,如静态常量定义和构造函数) ...
@Override
protected void doFilterInternal(@NotNull HttpServletRequest request, @NotNull HttpServletResponse response, @NotNull FilterChain filterChain) throws ServletException, IOException {
String token = getToken(request);
//noinspection ConstantConditions
if (token != null && !isLogin()) { // 优化条件判断
try {
String username = JwtUtils.getUsername(token);
userService.loadUserByUsername(username).ifPresent(userDetails -> {
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails, token, userDetails.getAuthorities());
authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
log.debug("用户{}校验成功!", username);
});
} catch (Exception e) {
log.debug(e.getMessage(), e);
}
}
filterChain.doFilter(request, response);
}
// ... (省略getToken和isLogin方法) ...
}此过滤器从请求头获取token,使用JwtUtils.getUsername(token)解析token获取用户名。验证成功后,创建UsernamePasswordAuthenticationToken对象,并将其设置到SecurityContextHolder,完成身份验证。 JwtUtils类(代码未提供)负责JWT的生成和解析,UserDetailsService加载用户信息。 代码已简化,实际应用中需考虑token过期、刷新等机制以及WebSocket场景下的token处理。