SpringSecurity基于JWT实现无状态认证

概要

文章主要介绍了如何使用SpringSecurity和JWT来实现无状态的认证机制。首先解释了JWT的基本概念和数据结构，包括其头部、有效载荷和签名。然后，通过jjwt库演示了如何创建和验证JWT令牌，并提供了一个自定义的JwtTokenUtil工具类。最后，讨论了JWT在前端的保存方案，并展示了如何在认证成功后通过successfulAuthentication方法向前端颁发token。

1. JWT入门

JWT是一种基于JSON的开放标准，用于安全地在用户和服务器之间传递信息。它由三个部分组成：头部、有效载荷和签名。头部指定了令牌的类型和签名算法，有效载荷包含了需要传递的数据，签名则用于验证消息的完整性。

1.1. JWT的数据结构

JWT头是一个描述JWT元数据的JSON对象，常见的有alg和typ两个字段。有效载荷包含七个预定义字段和可以自定义的私有字段。签名是对前两个部分的数据进行加密的哈希值。

JWT的签名算法主要有两种：HS256（对称加密）和RS256（非对称加密）。

2. JWT入门案例

通过jjwt库生成和解析JWT令牌。首先在pom.xml文件中配置jjwt库，然后使用jjwt创建不使用签名的JWT令牌和校验令牌的方法。

自定义的JwtTokenUtil类提供了创建Token、校验Token、获取用户名、获取用户角色和校验Token是否过期的方法。

前端保存JWT Token的方式包括LocalStorage、SessionStorage、cookie、页面中以及其他方式。

3. 基于JWT实现无状态认证

JWT无状态的特性使得服务器无需存储和维护认证信息，减轻了服务器压力。在自定义认证过滤器成功认证后，通过successfulAuthentication方法向前端颁发token。

认证成功响应JWT实现包括获取认证主体信息、组装响应前端的信息等步骤。