JWT 双签发认证 + RBAC 权限

最新推荐文章于 2025-06-15 00:07:56 发布
原创 最新推荐文章于 2025-06-15 00:07:56 发布 · 745 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #RBAC #jwt

1. JWT 双签发认证基础概念

JWT(JSON Web Token)是一种用于在网络应用间传递声明的安全标准。双签发认证指的是同时签发访问令牌(Access Token)和刷新令牌(Refresh Token):

  • Access Token:包含用户身份和权限信息,有效期较短(如 15 分钟)
  • Refresh Token:仅包含用户身份信息,有效期较长(如 7 天)
  • 当 Access Token 过期时,使用 Refresh Token 重新获取新的 Access Token

2. RBAC 权限模型基础概念

RBAC(基于角色的访问控制)是一种权限管理模型,核心组件包括:

  • 用户(User):系统的使用者
  • 角色(Role):一组权限的集合(如管理员、用户、访客)
  • 权限(Permission):对资源的操作许可(如创建文章、删除用户)
  • 用户 - 角色关联:一个用户可以拥有多个角色
  • 角色 - 权限关联:一个角色可以包含多个权限

3. Java 项目中实现 JWT 双签发认证

以下是一个简单的 Java 实现示例,使用 Spring Security 和 JJWT 库:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtUtil {
    private static final String SECRET_KEY = "your-secret-key";
    private static final long ACCESS_TOKEN_VALIDITY = 15 * 60 * 1000; // 15分钟
    private static final long REFRESH_TOKEN_VALIDITY = 7 * 24 * 60 * 60 * 1000; // 7天

    // 生成访问令牌
    public String generateAccessToken(String username, String roles) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("roles", roles);
        return createToken(claims, username, ACCESS_TOKEN_VALIDITY);
    }

    // 生成刷新令牌
    public String generateRefreshToken(String username) {
        return createToken(new HashMap<>(), username, REFRESH_TOKEN_VALIDITY);
    }

    private String createToken(Map<String, Object> claims, String subject, long validity) {
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + validity))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 验证令牌
    public Boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    // 从令牌中获取用户名
    public String getUsernameFromToken(String token) {
        return getClaimFromToken(token, Claims::getSubject);
    }

    // 从令牌中获取角色
    public String getRolesFromToken(String token) {
        return (String) getAllClaimsFromToken(token).get("roles");
    }

    private <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = getAllClaimsFromToken(token);
        return claimsResolver.apply(claims);
    }

    private Claims getAllClaimsFromToken(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
    }
}

4. Java 项目中实现 RBAC 权限控制

下面是一个基于 Spring Security 的 RBAC 实现示例:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    private final JwtRequestFilter jwtRequestFilter;

    public SecurityConfig(JwtRequestFilter jwtRequestFilter) {
        this.jwtRequestFilter = jwtRequestFilter;
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll() // 认证接口不需要权限
                .antMatchers("/api/admin/**").hasRole("ADMIN") // 需要ADMIN角色
                .antMatchers("/api/user/**").hasAnyRole("ADMIN", "USER") // 需要ADMIN或USER角色
                .anyRequest().authenticated()
                .and()
            .addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
        
        return http.build();
    }
}

5. 数据库五层设计方案

一个完整的 RBAC 系统数据库设计通常包含以下五层:

第一层:用户层
CREATE TABLE users (
    id BIGINT PRIMARY KEY AUTO_INCREMENT,
    username VARCHAR(50) UNIQUE NOT NULL,
    password VARCHAR(100) NOT NULL,
    email VARCHAR(100) UNIQUE NOT NULL,
    status TINYINT NOT NULL DEFAULT 1,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
);
第二层:角色层
CREATE TABLE roles (
    id BIGINT PRIMARY KEY AUTO_INCREMENT,
    role_name VARCHAR(50) UNIQUE NOT NULL,
    description VARCHAR(255),
    status TINYINT NOT NULL DEFAULT 1,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
);
第三层:权限层
CREATE TABLE permissions (
    id BIGINT PRIMARY KEY AUTO_INCREMENT,
    permission_name VARCHAR(50) UNIQUE NOT NULL,
    description VARCHAR(255),
    status TINYINT NOT NULL DEFAULT 1,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
);
第四层:关联层
-- 用户-角色关联表
CREATE TABLE user_roles (
    user_id BIGINT NOT NULL,
    role_id BIGINT NOT NULL,
    PRIMARY KEY (user_id, role_id),
    FOREIGN KEY (user_id) REFERENCES users(id),
    FOREIGN KEY (role_id) REFERENCES roles(id)
);

-- 角色-权限关联表
CREATE TABLE role_permissions (
    role_id BIGINT NOT NULL,
    permission_id BIGINT NOT NULL,
    PRIMARY KEY (role_id, permission_id),
    FOREIGN KEY (role_id) REFERENCES roles(id),
    FOREIGN KEY (permission_id) REFERENCES permissions(id)
);
第五层:资源层(可选,用于更细粒度控制)
CREATE TABLE resources (
    id BIGINT PRIMARY KEY AUTO_INCREMENT,
    resource_name VARCHAR(50) UNIQUE NOT NULL,
    resource_type VARCHAR(50) NOT NULL,
    parent_id BIGINT,
    url VARCHAR(255),
    status TINYINT NOT NULL DEFAULT 1,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
    FOREIGN KEY (parent_id) REFERENCES resources(id)
);

-- 权限-资源关联表
CREATE TABLE permission_resources (
    permission_id BIGINT NOT NULL,
    resource_id BIGINT NOT NULL,
    actions VARCHAR(100) NOT NULL, -- 如: "create,read,update,delete"
    PRIMARY KEY (permission_id, resource_id),
    FOREIGN KEY (permission_id) REFERENCES permissions(id),
    FOREIGN KEY (resource_id) REFERENCES resources(id)
);

6. 实现流程示例

以下是一个典型的认证授权流程:

  1. 用户登录,验证用户名密码
  2. 验证成功后,生成 Access Token 和 Refresh Token
  3. 将两个 Token 返回给客户端
  4. 客户端在请求头中携带 Access Token
  5. 服务端验证 Access Token 有效性
  6. 若 Access Token 过期,客户端使用 Refresh Token 请求新的 Access Token
  7. 服务端验证 Refresh Token,生成新的 Access Token 和 Refresh Token
  8. 服务端根据 Token 中的角色信息,结合 RBAC 权限控制进行访问控制

7. 安全增强建议

  1. Refresh Token 存储安全

    • 考虑将 Refresh Token 存储在 HttpOnly Cookie 中,防止 XSS 攻击
    • 对 Refresh Token 实现严格的同源策略

  2. Token 泄露防护

    • 实现 Token 撤销机制
    • 为每个用户维护一个唯一的设备标识
    • 实现异常登录检测和通知

  3. 权限设计最佳实践

    • 遵循最小权限原则
    • 定期审查和清理过时角色和权限
    • 实现权限继承和权限组
hqxstudying
关注
NGINX+OpenResty+JWT实现认证授权系统
AI天才研究院
09-23 2301
随着互联网技术的不断进步以及企业对信息安全的重视,越来越多的人开始关注Web应用中涉及的信息安全问题。很多网站为了提供更好的用户体验,也开始在一定程度上采用了一些“保护机制”或是“安全措施”,如SSL加密、CSRF防护、表单验证等,但仍然存在着严重的安全漏洞。为了解决这一问题,人们引入了一些解决方案如HTTPS协议、HTTP Strict Transport Security (HSTS)、跨站脚本攻击防护XSS、SQL注入防护等。
30--Django-后端开发-drf之RBAC表分析、simple-ui的使用、JWT签发认证的源码分析
摘 月
02-15 804
1.自定义User表实现jwt的token签发views.py。
用户权限校验AOP + JWT + RBAC
qq_50372901的博客
04-18 486
/ 所需权限名称。
JWT 签发认证过程
hqxstudying的博客
06-15 779
Java 项目中实现 JWT 签发认证(即同时生成 Access Token 和 Refresh Token),核心流程包括以及。
AOP+JWT+RABC快速实现权限认证
`or 1 or 不正经の泡泡
03-24 1308
权限验证,是我们一个系统设计当中,经常会遇到的问题,常见的框架当然有Shiro,SpringSecurity 等等。但是有个问题,不论是那个框架都有一定的学习成本,同时在当前Result Api 风格的加持之下,这些框架虽然很优秀,但是我们使用到的功能往往只是其中冰山一角。尤其是当我们需要为我们的服务做更加个性化的操作,定制的时候,往往涉及到的改动就比较大。所以,今天咱们就来直接使用到我们的Spring AOP 来快速实现我们的权限认证操作。当然也是一个月没有水文章了,在这里冒个泡泡~
使用JWT令牌机制进行接口请求鉴权
北海之灵的博客
07-19 1498
1.JWT的使用 2.令牌模式 3.无感刷新 token
FastAPI系列教程12:使用JWT 登录认证RBAC 权限控制
GeekABC
04-30 1838
本节我们就在FastAPI中提供一个基于JWTRBAC的登录认证权限控制的实现方式。
一个基于 Go 语言开发的现代化后台管理系统API,集成了 RBAC 权限管理、JWT 认证等功能。.zip
最新发布
08-24
7. 安全性增强:除了JWT认证RBAC权限管理之外,系统可能还具备输入验证、SQL注入防护、XSS攻击防护等多种安全机制,以保护系统免受恶意攻击。 8. 多语言支持:对于跨国公司或者多地区运营的企业,后台管理系统API...
SpringBoot集成Shiro、Jwt和Redis
10-24
通过以上步骤,我们可以构建一个完整的RBAC系统,其中Shiro处理权限控制,Jwt实现无状态认证,Redis提供高效的会话管理,而MyBatisPlus则简化了数据库操作。这样的系统不仅安全可靠,而且具有良好的扩展性和可维护性...
Spring Cloud 微服务安全:OAuth2 + JWT 实现认证与授权
AI开发架构师
04-10 737
随着微服务架构的普及,服务拆分带来的分布式特性对安全体系提出了更高要求。传统单体应用的认证授权模式(如 Session-Cookie)难以适应跨服务、跨平台的安全需求。如何实现微服务间的统一身份认证?如何通过开放标准协议(OAuth2)实现第三方接入安全?如何利用 JWT(JSON Web Token)实现无状态令牌管理?如何在 Spring Cloud 生态中整合认证服务与资源服务?核心概念:解析 OAuth2 协议与 JWT 技术的原理及结合点架构设计。
Spring Security 6.X + JWT + RBAC 权限管理实战教程(上)
2201_75490194的博客
01-19 1927
本教程基于SpringBoot3.x+SpringSecurity6.x实现,采用JWT+Redis的认证方案,结合RBAC权限模型,实现了一个完整的权限管理系统。
万字长文,SpringSecurity
mySoul
06-30 1279
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
JWT鉴权的实际应用(token机制)
hm342133194的博客
02-12 254
使用accessToken和refreshTokentoken机制,往往accessToken要比refreshToken的过期时间要早,系统内置一个时间会检测accessToken是否过期,如果accessToken过期或快要过期时,可以使用refreshToken向后端访问为用户提供一个新的accessToken和refreshToken,若refreshToken过期,则用户重新登录。
JWT令牌(token)实现登录验证
weixin_43973161的博客
09-23 8167
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
Spring Security + JWT 完成RBAC动态授权
Janche的博客
07-21 5055
此篇文章为spring security系列的第一篇,着重讲解如何通过spring security完成企业级项目的权限控制。 1. 什么是RBAC RBAC(Role-Based Access Control )基于角色的权限控制,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。 2. JWT 和 Spring Security ...
构建基于JWT+RBAC安全认证的SpringBoot应用并部署至腾讯云服务器
shanzhongbao的博客
01-17 562
腾讯云服务器 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 记录云服务器购买,安装JDK、MySQL,安全规则配置,部署SpringBoot应用的点点滴滴。 一、购买云服务器 去年购买的云服务器快要到期了,11期间1核2G的云服务器续费1年、3折都还要451.8元,而新用户1年才88元。看到3年288元的新用户福利,试想换个手机或邮箱注册新用户总行吧?还好1个身份证最多可以注册3个账户,赶紧注册新用户,实名认证后用..
前后端分离 SpringBoot + SpringSecurity + JWT + RBAC 实现用户无状态请求验证
热门推荐
IT小村
07-16 4万+
一、前言 修改自前文,十分贴近公司开发的生产环境 前后端分离 SpringBoot + SpringSecurity 权限解决方案 二、代码 代码已经放在 github 上了:https://github.com/larger5/SpringBoot_SpringSecurity_JWT_RBAC.git 1.pom &amp;amp;amp;amp;amp;amp;lt;!--安全框架--&amp;amp;amp;amp;amp;amp;gt;
从零开始,构建前后端分离的博客系统三(jwt认证协议与RBAC用户角色权限的实践)
ykersimple的博客
01-24 996
因为期末考试加上种种原因,没有及时更新博客,趁着假期时间,将欠下的债补上。 在之前的博客系统代码中前端路由控制是通过登陆请求,成功返回uuid给前端,然后前端通过验证是否有uuid来实现前端路由的权限控制。在之后设计中,我意识到两个重要的问题 问题一: 当api获取方式只有我一个人知道的时候,这种api访问无控制问题或许无关紧要,但是当有其他人知道,并借此来攻击我的服务器,那么我的服务器就只能...
jwt实现登录权限
03-31
<think>好的,我现在需要帮助用户了解如何使用JWT实现用户登录和权限控制。首先,我需要回忆一下JWT的基本概念和工作流程。JWT是JSON Web Token的缩写,通常用于身份验证和授权。用户登录后,服务器生成一个JWT,客户端之后在请求中携带这个Token,服务器验证Token的合法性并据此授权。 根据用户提供的引用内容,他们提到了Shiro和JWT的整合,以及权限管理的实现。可能用户对如何在Spring Boot项目中结合这两个技术感兴趣。不过用户的问题更偏向于JWT本身如何实现登录和权限管理,而不仅仅是整合框架。 首先,我应该分步骤解释JWT的登录流程。用户登录时提交凭证,服务器验证凭证,生成JWT并返回。客户端存储JWT,通常在localStorage或cookie中。之后的每个请求都需要携带JWT,服务器验证JWT的有效性,并从中提取用户信息进行权限判断。 接下来是权限控制部分。JWT的Payload部分可以包含用户角色和权限信息。服务器在验证Token后,需要根据这些信息决定用户是否有权访问特定资源。例如,使用中间件或拦截器来检查权限,或者在API网关处理。 需要注意JWT的安全性,比如使用HTTPS传输,设置合理的过期时间,以及处理Token的刷新机制。此外,JWT是无状态的,所以服务器不需要保存会话信息,但这也意味着一旦签发,无法中途撤销,除非等到过期。 用户可能还会关心如何实际编码实现,比如生成Token的库,如何解析和验证签名,以及如何处理常见的权限控制场景,比如基于角色的访问控制(RBAC)。可能需要提到一些代码示例,比如使用Java的jjwt库,或者在Node.js中使用jsonwebtoken。 还要注意引用的内容中提到了Shiro的整合,所以可能需要比较JWT与传统会话管理的区别,以及为什么选择JWT,比如分布式系统的适用性。 另外,用户可能对JWT的结构(Header, Payload, Signature)不太清楚,需要简要解释。例如,Header包含算法类型,Payload包含声明(claims),如用户ID、角色,Signature用于验证消息未被篡改。 可能的问题点包括如何安全存储JWT,避免XSS和CSRF攻击,以及如何处理Token过期后的刷新。需要给出最佳实践建议,比如使用HttpOnly的cookie存储,而不是localStorage。 最后,生成相关问题时,要考虑用户可能想了解JWT的安全隐患、具体实现步骤、与其他认证方式的对比,或者在微服务架构中的应用。</think>### 如何使用JWT实现用户登录与权限控制 #### 一、JWT登录流程实现 1. **用户提交凭证** 用户通过登录接口发送用户名和密码(或其他凭证),例如: ```bash POST /login { "username": "admin", "password": "******" } ``` 2. **服务器验证并生成Token** 服务器验证凭证合法性,成功后生成JWTJWT包含三部分: - **Header**:指定算法类型(如HMAC SHA256)和Token类型 ```json { "alg": "HS256", "typ": "JWT" } ``` - **Payload**:存放用户标识、角色、权限和有效期 ```json { "sub": "user123", "roles": ["admin"], "permissions": ["create:user", "delete:post"], "exp": 1629999999 } ``` - **Signature**:使用密钥对前两部分签名,防止篡改 ```python signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret_key) ``` 3. **返回Token给客户端** 服务器通过响应体返回Token: ```json { "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyMTIzIn0.7d5b7j8g..." } ``` 客户端需将Token存储在安全位置(如`localStorage`或`HttpOnly Cookie`)[^2]。 --- #### 二、权限控制实现 1. **Token校验中间件** 在请求到达业务逻辑前,通过拦截器验证JWT: ```java public boolean preHandle(HttpServletRequest request, HttpServletResponse response) { String token = request.getHeader("Authorization"); try { Claims claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token).getBody(); request.setAttribute("userRoles", claims.get("roles")); // 传递权限信息 return true; } catch (Exception e) { response.setStatus(401); // 无效Token返回401 return false; } } ``` 2. **基于角色的访问控制(RBAC)** - 使用注解标注接口所需权限: ```java @GetMapping("/admin") @RequiresRoles("admin") // Shiro注解示例 public ResponseEntity<?> adminResource() { ... } ``` - 自定义权限验证逻辑: ```python def check_permission(user_roles, required_role): return required_role in user_roles ``` --- #### 三、安全增强措施 | 措施 | 说明 | |---------------------|----------------------------------------------------------------------| | **HTTPS传输** | 防止Token在传输中被窃听 | | **短期有效期** | 设置`exp`字段(如30分钟),配合Refresh Token机制延长会话[^1] | | **黑名单管理** | 通过Redis记录主动注销的Token,在拦截器中二次校验 | | **密钥轮换** | 定期更换签名密钥,降低泄露风险 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值