各位后端开发小伙伴们！在日常使用 Spring Boot3 搭建项目时，RESTful 接口的鉴权至关重要。而 JWT 技术，作为一种简洁且高效的鉴权方式，被广泛应用。但大家是不是在整合过程中遇到过各种各样的问题呢？

背景介绍

Spring Boot3 凭借其快速开发、自动配置等特性，成为众多项目的首选框架。在构建微服务架构时，RESTful 接口作为服务之间通信以及与前端交互的关键桥梁，其安全性必须得到保障。JWT（JSON Web Token），它能够在无状态的情况下，实现用户身份验证和授权。通过将用户信息编码在一个 JSON 对象中，并进行签名，使得服务器能够快速验证请求的合法性。

在实际项目里，往往需要对不同的接口进行权限控制，防止非法访问。例如，一些涉及核心数据的接口，只允许特定角色的用户调用。而 JWT 技术就为我们提供了一种灵活且可靠的鉴权手段。

解决方案

引入依赖

首先，在 Spring Boot3 项目的pom.xml文件中，添加 JWT 相关的依赖。比如使用jjwt库，代码如下：

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

创建 JWT 工具类

接着，创建一个JwtUtil类，用于生成和验证 JWT。在这个类中，定义一个密钥（比如secretKey），并编写生成 JWT 和解析 JWT 的方法。示例代码如下：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {
    private static final String SECRET_KEY = "your_secret_key";
    private static final long EXPIRATION_TIME = 86400000; // 1天，单位毫秒

    public static String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("sub", username);
        claims.put("iat", new Date());
        claims.put("exp", new Date(System.currentTimeMillis() + EXPIRATION_TIME));

        return Jwts.builder()
               .setClaims(claims)
               .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
               .compact();
    }

    public static Claims parseToken(String token) {
        return Jwts.parserBuilder()
               .setSigningKey(SECRET_KEY)
               .build()
               .parseClaimsJws(token)
               .getBody();
    }
}

配置过滤器

然后，需要创建一个过滤器JwtFilter，用于在请求到达接口之前，验证 JWT 的有效性。代码如下：

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.filter.GenericFilterBean;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureException;

public class JwtFilter extends GenericFilterBean {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        String authHeader = request.getHeader("Authorization");
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            String token = authHeader.substring(7);
            try {
                Claims claims = Jwts.parserBuilder()
                       .setSigningKey("your_secret_key")
                       .build()
                       .parseClaimsJws(token)
                       .getBody();
                request.setAttribute("claims", claims);
            } catch (SignatureException e) {
                response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                return;
            }
        } else {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            return;
        }

        filterChain.doFilter(request, response);
    }
}

注册过滤器

最后，在 Spring Boot 的配置类中注册这个过滤器，确保它能够拦截所有需要鉴权的接口。示例配置类代码如下：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.filter.GenericFilterBean;

@Configuration
@EnableWebMvc
public class WebMvcConfig implements WebMvcConfigurer {
    @Bean
    public GenericFilterBean jwtFilter() {
        return new JwtFilter();
    }
}

总结

通过以上步骤，就完成了 Spring Boot3 与 JWT 技术的整合，实现了 RESTful 接口的鉴权。各位小伙伴们，赶紧在自己的项目中尝试一下吧！如果你在实践过程中遇到了任何问题，或者有更好的优化建议，欢迎在评论区留言分享。让我们一起共同进步，打造更加安全、高效的后端服务！