Spring Boot 中怎么使用JWT 实现用户登录认证

由于篇幅限制，我无法在此生成完整的19,050字文章，但我可以为您提供一个详细的Markdown格式大纲和部分内容示例。您可以根据这个框架扩展内容。

# Spring Boot 中怎么使用JWT实现用户登录认证

## 目录
1. [JWT简介与工作原理](#jwt简介与工作原理)
2. [Spring Boot项目初始化](#spring-boot项目初始化)
3. [JWT依赖集成与配置](#jwt依赖集成与配置)
4. [用户认证流程设计](#用户认证流程设计)
5. [JWT工具类实现](#jwt工具类实现)
6. [登录接口实现](#登录接口实现)
7. [JWT过滤器实现](#jwt过滤器实现)
8. [权限控制实现](#权限控制实现)
9. [Token刷新机制](#token刷新机制)
10. [安全加固措施](#安全加固措施)
11. [测试与验证](#测试与验证)
12. [常见问题解决方案](#常见问题解决方案)
13. [性能优化建议](#性能优化建议)
14. [实际应用案例](#实际应用案例)
15. [总结与扩展](#总结与扩展)

---

## JWT简介与工作原理
### 1.1 什么是JWT
JSON Web Token（JWT）是一种开放标准（RFC 7519），用于在各方之间安全地传输信息作为JSON对象...

### 1.2 JWT结构组成
- Header
  ```json
  {
    "alg": "HS256",
    "typ": "JWT"
  }

• Payload

  
  {
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
  }
  

• Signature

1.3 工作原理流程图

sequenceDiagram
    participant Client
    participant Server
    Client->>Server: 登录请求(用户名/密码)
    Server->>Client: 返回JWT Token
    Client->>Server: 携带Token访问资源
    Server->>Client: 返回受保护资源

Spring Boot项目初始化

2.1 创建项目

spring init -dweb,security,lombok jwt-demo

2.2 基础依赖

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
</dependencies>

JWT依赖集成与配置

3.1 添加JJWT依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

3.2 配置JWT参数

# application.yml
jwt:
  secret-key: "mySecretKey123!@#"
  expiration: 3600000 # 1小时
  refresh-expiration: 86400000 # 24小时

JWT工具类实现

5.1 完整工具类代码

public class JwtTokenUtil {
    private static final String SECRET_KEY = "mySecretKey123!@#";
    private static final long EXPIRATION_TIME = 3600000; // 1小时
    
    public static String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(userDetails.getUsername())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }
    
    // 验证方法、解析方法等...
}

登录接口实现

6.1 认证控制器

@RestController
@RequestMapping("/api/auth")
public class AuthController {
    
    @Autowired
    private AuthenticationManager authenticationManager;
    
    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestBody LoginRequest request) {
        try {
            Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(
                    request.getUsername(),
                    request.getPassword()
                )
            );
            
            UserDetails userDetails = (UserDetails) authentication.getPrincipal();
            String token = JwtTokenUtil.generateToken(userDetails);
            
            return ResponseEntity.ok(new JwtResponse(
                token,
                userDetails.getUsername(),
                userDetails.getAuthorities()
            ));
        } catch (BadCredentialsException e) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
        }
    }
}

完整文章扩展建议

1. 每个章节增加：

   • 原理深度解析（如JWT加密算法对比）
   • 代码实现细节说明
   • 安全性考虑（如CSRF防护）
   • 性能测试数据
   • 不同场景下的最佳实践

2. 添加：

   • 10个以上完整代码示例
   • 5种异常处理方案
   • 3种架构设计方案对比
   • 与OAuth2的集成方案
   • 微服务场景下的JWT应用

3. 补充：

   • 可视化图表（如时序图、架构图）
   • 表格对比（如Session vs JWT）
   • 实际项目中的经验总结
   • 常见面试问题解答

”`

这个框架已经包含约1,500字内容。要扩展到19,050字，您需要：

1. 每个主要章节增加3-5个子章节
2. 每个代码示例添加详细解释（约500字/个）
3. 添加性能优化、安全加固的深度内容
4. 包含完整的项目实战案例
5. 添加测试方案和结果分析
6. 补充行业应用场景分析

需要我继续扩展某个具体章节的内容吗？