首页 > 软件编程 > java > Java JWT双签发认证

Java中JWT双签发认证过程的实现

2025-08-24 10:50:39 作者：hqxstudying

在Java项目中实现JWT双签发认证(即同时生成Access Token和Refresh Token),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

在 Java 项目中实现 JWT 双签发认证（即同时生成 Access Token 和 Refresh Token），核心流程包括 登录时双 Token 生成、Token 过期时的刷新逻辑以及 Token 的存储与验证。以下是结合上述代码的详细实现步骤和关键逻辑说明：

一、登录时生成双 Token

1. 登录接口逻辑

用户提交用户名和密码后，服务端验证凭证有效性。若验证通过，调用 JwtUtil 生成 Access Token 和 Refresh Token，并返回给客户端。

@RestController
@RequestMapping("/api/auth")
public class AuthController {
    private final UserService userService;
    private final JwtUtil jwtUtil;
 
    @PostMapping("/login")
    public ResponseEntity<Map<String, String>> login(@RequestBody LoginRequest request) {
        // 1. 验证用户名和密码
        User user = userService.authenticate(request.getUsername(), request.getPassword());
        if (user == null) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
        }
 
        // 2. 生成双 Token
        String accessToken = jwtUtil.generateAccessToken(user.getUsername(), user.getRoles());
        String refreshToken = jwtUtil.generateRefreshToken(user.getUsername());
 
        // 3. 返回 Token（示例：以 JSON 格式返回）
        Map<String, String> tokenMap = new HashMap<>();
        tokenMap.put("accessToken", accessToken);
        tokenMap.put("refreshToken", refreshToken);
        return ResponseEntity.ok(tokenMap);
    }
}

2.JwtUtil中的双 Token 生成逻辑

Access Token：包含用户角色和权限信息，有效期短（如 15 分钟）。
Refresh Token：仅包含用户身份（用户名），有效期长（如 7 天），用于刷新 Access Token。

@Component
public class JwtUtil {
    // 省略已定义的常量和工具方法...
 
    // 生成 Access Token（包含角色信息）
    public String generateAccessToken(String username, String roles) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("roles", roles); // 将角色信息存入 Claims
        return createToken(claims, username, ACCESS_TOKEN_VALIDITY);
    }
 
    // 生成 Refresh Token（仅包含用户身份，无权限信息）
    public String generateRefreshToken(String username) {
        return createToken(new HashMap<>(), username, REFRESH_TOKEN_VALIDITY); // 空 Claims，仅存储 subject（用户名）
    }
}

二、Access Token 过期时的刷新逻辑

1. 刷新 Token 的接口设计

当客户端检测到 Access Token 过期时，携带 Refresh Token 调用刷新接口，获取新的 Access Token（可选：同时刷新 Refresh Token）。

@PostMapping("/refresh-token")
public ResponseEntity<Map<String, String>> refreshToken(@RequestHeader("Refresh-Token") String refreshToken) {
    // 1. 验证 Refresh Token 有效性
    if (!jwtUtil.validateToken(refreshToken)) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
 
    // 2. 从 Refresh Token 中获取用户名
    String username = jwtUtil.getUsernameFromToken(refreshToken);
 
    // 3. 查询用户信息（获取角色等权限信息）
    User user = userService.getUserByUsername(username);
    if (user == null) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
 
    // 4. 生成新的 Access Token（可选：生成新的 Refresh Token）
    String newAccessToken = jwtUtil.generateAccessToken(username, user.getRoles());
    String newRefreshToken = jwtUtil.generateRefreshToken(username); // 可选：每次刷新时更换 Refresh Token
 
    // 5. 返回新 Token（示例：仅返回新 Access Token，或同时返回新 Refresh Token）
    Map<String, String> newTokenMap = new HashMap<>();
    newTokenMap.put("accessToken", newAccessToken);
    newTokenMap.put("refreshToken", newRefreshToken); // 可选
    return ResponseEntity.ok(newTokenMap);
}

2. 刷新策略说明

是否刷新 Refresh Token：
- 不刷新：Refresh Token 有效期内可重复使用（简单但存在安全风险，若 Refresh Token 泄露，攻击者可长期使用）。
- 刷新：每次调用刷新接口时生成新的 Refresh Token（需在数据库或缓存中维护 Refresh Token 的有效性，例如存储每个用户的最新 Refresh Token）。
推荐方案：每次刷新时生成新的 Refresh Token，并在服务端维护一个 Refresh Token 黑名单 或 用户当前有效 Refresh Token，防止旧 Token 被滥用。

三、Token 的存储与传输

1. 客户端存储方式

Access Token：通常存储在内存（如 Vuex/Redux）或 LocalStorage 中，用于每次请求的 Authorization 头。
Refresh Token：为增强安全性，建议存储在 HttpOnly Cookie 中，避免 XSS 攻击。若无法使用 Cookie，可存储在安全的客户端存储中（如加密的 LocalStorage），但需注意 CSRF 防护。

2. 请求头携带方式

Authorization: Bearer <Access Token>
Refresh-Token: <Refresh Token> // 刷新接口使用

四、安全增强措施

1. Refresh Token 黑名单

场景：用户登出、Refresh Token 泄露时，需立即失效旧 Token。
实现：使用 Redis 缓存存储已失效的 Refresh Token，设置与 Refresh Token 相同的过期时间。刷新接口中先检查 Token 是否在黑名单中。

// 登出时将 Refresh Token 加入黑名单
@PostMapping("/logout")
public ResponseEntity<Void> logout(@RequestHeader("Refresh-Token") String refreshToken) {
    redisTemplate.opsForValue().set("blacklist:" + refreshToken, "invalid", REFRESH_TOKEN_VALIDITY, TimeUnit.MILLISECONDS);
    return ResponseEntity.ok().build();
}
 
// 刷新接口中检查黑名单
public boolean isRefreshTokenBlacklisted(String refreshToken) {
    return redisTemplate.hasKey("blacklist:" + refreshToken);
}

2. 设备标识绑定

为每个用户会话生成唯一的设备标识（如 UUID），存储在 Refresh Token 的 Claims 中，并在服务端关联用户和设备标识。刷新时验证设备标识是否匹配，防止跨设备伪造。

// 登录时生成设备标识
String deviceId = UUID.randomUUID().toString();
claims.put("deviceId", deviceId); // 存入 Refresh Token 的 Claims
 
// 刷新时验证设备标识
String storedDeviceId = (String) getAllClaimsFromToken(refreshToken).get("deviceId");
if (!storedDeviceId.equals(user.getCurrentDeviceId())) {
    return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}

五、结合 RBAC 的权限控制

在 Spring Security 的配置中，通过 hasRole 或 hasAuthority 方法校验 Access Token 中的角色信息，实现 RBAC 权限控制（如上述代码中的 SecurityConfig）。

// SecurityConfig 中配置角色权限
.antMatchers("/api/admin/**").hasRole("ADMIN") // 要求角色为 ADMIN
.antMatchers("/api/user/**").hasAnyRole("ADMIN", "USER") // 要求角色为 ADMIN 或 USER

总结：双签发认证核心流程

登录：验证用户凭证 → 生成 Access Token（含角色）和 Refresh Token（含用户身份）→ 返回客户端。
正常请求：客户端携带 Access Token → 服务端验证有效性 → 校验角色权限 → 允许访问。
Token 过期：客户端携带 Refresh Token → 服务端验证有效性 → 生成新的 Access Token（可选新 Refresh Token）→ 返回客户端。
安全防护：通过 HttpOnly Cookie、黑名单、设备绑定等机制增强 Token 安全性。

通过以上步骤，可在 Java 项目中实现基于 JWT 的双签发认证，并结合 RBAC 实现细粒度权限控制。

到此这篇关于Java中JWT双签发认证过程的实现的文章就介绍到这了,更多相关Java JWT双签发认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！