一、JWT 核心概念(新手友好版)
JWT(JSON Web Token)是一种无状态的身份认证方式,替代传统的 Session:
登录成功后,服务器生成一个加密的 token 返回给前端;
前端后续请求都在请求头中携带这个 token;
服务器通过拦截器校验 token 的合法性,无需存储用户状态(无状态)。
优势:支持分布式部署(Session 存在服务器,分布式环境需共享,JWT 无需)。
二、前置准备:添加 JWT 依赖
在 Spring Boot 项目的pom.xml中新增 JWT 依赖(阿里的 JJWT 工具,简化 JWT 操作):
三、核心实现步骤
- 编写 JWT 工具类(生成 / 校验 token)
创建com.example.utils.JwtUtil.java,封装 JWT 的核心操作: - 新增登录相关接口
(1)登录请求参数封装(LoginDTO.java)
创建com.example.dto.LoginDTO.java,接收前端登录参数:
(2)扩展 UserMapper(添加登录查询)
修改com.example.mapper.UserMapper.java:
(3)扩展 UserService(添加登录业务)
修改com.example.service.UserService.java:
(4)实现登录业务(UserServiceImpl.java)
修改com.example.service.impl.UserServiceImpl.java:
(5)编写登录接口(UserController.java)
修改com.example.controller.UserController.java,新增登录接口: - 编写 JWT 拦截器(校验 token)
(1)JWT 拦截器(JwtInterceptor.java)
创建com.example.interceptor.JwtInterceptor.java:
(2)配置拦截器(WebConfig.java)
创建com.example.config.WebConfig.java,注册拦截器并配置拦截规则:
四、测试验证 - 登录接口测试(PostMan / 浏览器插件)
请求地址:POST http://localhost:8080/user/login
请求体(JSON):
响应结果(成功): - 带 token 访问用户列表接口
请求地址:GET http://localhost:8080/user/list
请求头添加:Authorization: Bearer 上面生成的token
响应结果:返回用户列表(校验通过)。 - 无 token / 无效 token 访问
直接访问/user/list,会返回:
五、关键补充(企业级优化点)
密码加密:实际项目中,数据库存储的密码需提前用 MD5/BCrypt 加密,而非明文;
秘钥配置:JWT 的secret建议放在配置文件(application.yml)中,而非硬编码:
token 刷新:可添加「刷新 token」接口,避免 token 过期后用户重新登录;
敏感信息过滤:返回用户信息时,排除密码等敏感字段(可通过 MyBatis 查询指定字段)。
总结
JWT 登录的核心流程:登录生成 token → 前端携带 token 请求 → 拦截器校验 token;
JWT 工具类封装了「生成、解析、校验」token 的核心方法,是整个流程的基础;
拦截器通过addPathPatterns/excludePathPatterns控制拦截范围,确保登录接口无需校验。