各位后端开发小伙伴们！在日常使用 Spring Boot3 搭建项目时，RESTful 接口的鉴权至关重要。而 JWT 技术，作为一种简洁且高效的鉴权方式，被广泛应用。但大家是不是在整合过程中遇到过各种各样的问题呢？

背景介绍

Spring Boot3 凭借其快速开发、自动配置等特性，成为众多项目的首选框架。在构建微服务架构时，RESTful 接口作为服务之间通信以及与前端交互的关键桥梁，其安全性必须得到保障。JWT（JSON Web Token），它能够在无状态的情况下，实现用户身份验证和授权。通过将用户信息编码在一个 JSON 对象中，并进行签名，使得服务器能够快速验证请求的合法性。

在实际项目里，往往需要对不同的接口进行权限控制，防止非法访问。例如，一些涉及核心数据的接口，只允许特定角色的用户调用。而 JWT 技术就为我们提供了一种灵活且可靠的鉴权手段。

解决方案

引入依赖

首先，在 Spring Boot3 项目的pom.xml文件中，添加 JWT 相关的依赖。比如使用jjwt库，代码如下：

<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version></dependency><dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope></dependency><dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope></dependency>

创建 JWT 工具类

接着，创建一个JwtUtil类，用于生成和验证 JWT。在这个类中，定义一个密钥（比如secretKey），并编写生成 JWT 和解析 JWT 的方法。示例代码如下：

import io.jsonwebtoken.Claims;import io.jsonwebtoken.Jwts;import io.jsonwebtoken.SignatureAlgorithm;import java.util.Date;import java.util.HashMap;import java.util.Map;public JwtUtil { private static final String SECRET_KEY = "your_secret_key"; private static final long EXPIRATION_TIME = 86400000; // 1天，单位毫秒 public static String generateToken(String username) { Map<String, Object> claims = new HashMap<>(); claims.put("sub", username); claims.put("iat", new Date()); claims.put("exp", new Date(System.currentTimeMillis() + EXPIRATION_TIME)); return Jwts.builder() .setClaims(claims) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } public static Claims parseToken(String token) { return Jwts.parserBuilder() .setSigningKey(SECRET_KEY) .build() .parseClaimsJws(token) .getBody(); }}

配置过滤器

然后，需要创建一个过滤器JwtFilter，用于在请求到达接口之前，验证 JWT 的有效性。代码如下：

import javax.servlet.FilterChain;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import org.springframework.web.filter.GenericFilterBean;import io.jsonwebtoken.Claims;import io.jsonwebtoken.Jwts;import io.jsonwebtoken.SignatureException;public JwtFilter extends GenericFilterBean { @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; String authHeader = request.getHeader("Authorization"); if (authHeader != null && authHeader.startsWith("Bearer ")) { String token = authHeader.substring(7); try { Claims claims = Jwts.parserBuilder() .setSigningKey("your_secret_key") .build() .parseClaimsJws(token) .getBody(); request.setAttribute("claims", claims); } catch (SignatureException e) { response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return; } } else { response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return; } filterChain.doFilter(request, response); }}

注册过滤器

最后，在 Spring Boot 的配置类中注册这个过滤器，确保它能够拦截所有需要鉴权的接口。示例配置类代码如下：

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.EnableWebMvc;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;import org.springframework.web.filter.GenericFilterBean;@Configuration@EnableWebMvcpublic WebMvcConfig implements WebMvcConfigurer { @Bean public GenericFilterBean jwtFilter() { return new JwtFilter(); }}总结

通过以上步骤，就完成了 Spring Boot3 与 JWT 技术的整合，实现了 RESTful 接口的鉴权。各位小伙伴们，赶紧在自己的项目中尝试一下吧！如果你在实践过程中遇到了任何问题，或者有更好的优化建议，欢迎在评论区留言分享。让我们一起共同进步，打造更加安全、高效的后端服务！