JWT 详解：原理、与 Session 区别及 Spring Boot 实战 | 极客日志

Javajava

JWT 详解：原理、与 Session 区别及 Spring Boot 实战

综述由AI生成JWT 是一种用于在网络应用间安全传递声明的开放标准令牌。它由 Header、Payload 和 Signature 三部分组成，采用 Base64 编码而非加密，安全性依赖签名防篡改。相比 Session，JWT 无状态且适合分布式系统，但存在无法主动登出和 Payload 非加密的缺点。通过图解和 Spring Boot 代码实战，演示了 JWT 的生成、验证流程及拦截器配置，并提供了过期时间设置、密钥管理等最佳实践建议，帮助开发者安全集成 JWT 认证方案。

月亮邮递员发布于 2026/4/6更新于 2026/6/130 浏览

JWT 详解：原理、对比与 Spring Boot 实战

你是否经常听到这些词：

'我们用 JWT 做登录认证'
'前端把 token 放在 Authorization 头里'
'JWT 无状态，适合分布式系统'

但你真的理解 JWT 到底是什么？它怎么工作？和 Session 有什么区别？ 吗？

今天我们就用 通俗语言 + 图解 + Spring Boot 代码实战，带你从零彻底搞懂 JWT！

一、一句话解释 JWT

JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在网络应用间安全地传递'声明'（claims）的紧凑、自包含令牌。

简单说：JWT 就是一个加密的字符串，里面包含了用户身份信息，服务器不用查数据库就能验证你是谁！

二、JWT 长什么样？

一个典型的 JWT 看起来像这样：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ. SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

它由 三部分组成，用点 . 分隔：

部分	说明	是否可读
Header（头部）	算法 + 类型	Base64 可解码
Payload（载荷）	用户数据（如 ID、角色、过期时间）	Base64 可解码
Signature（签名）	用于验证令牌是否被篡改	不可逆

✅ 注意：JWT 默认是 Base64 编码，不是加密！任何人都能解码看到内容！
🔒 安全靠的是 签名（Signature），防止内容被篡改。

三、三部分详解（附解码示例）

1. Header（头部）

{
  "alg": "HS256",
  "typ": "JWT"
}

alg：签名算法（如 HS256、RS256）
typ：令牌类型，固定为 JWT

2. Payload（载荷）— 存放用户信息的地方！

{
  "sub"

相关免费在线工具

Keycode 信息
查找任何按下的键的javascript键代码、代码、位置和修饰符。在线工具，Keycode 信息在线工具，online
Escape 与 Native 编解码
JavaScript 字符串转义/反转义；Java 风格 \uXXXX（Native2Ascii）编码与解码。在线工具，Escape 与 Native 编解码在线工具，online
JavaScript / HTML 格式化
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。在线工具，JavaScript / HTML 格式化在线工具，online
JavaScript 压缩与混淆
Terser 压缩、变量名混淆，或 javascript-obfuscator 高强度混淆（体积会增大）。在线工具，JavaScript 压缩与混淆在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secretKey )

特性	JWT	Session
存储位置	客户端（LocalStorage/Cookie）	服务端（内存/Redis）
状态	无状态（Stateless）	有状态（需维护 session）
扩展性	天然支持分布式	需共享 session（如 Redis）
安全性	依赖签名，防篡改	依赖 session ID 随机性
登出	难（需黑名单或短期过期）	容易（删 session 即可）
传输大小	较大（含用户数据）	小（只传 session ID）

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

@Component
public class JwtUtil {
    private String secret = "MySecretKey123!@#"; // 生产环境应配置在 application.yml
    private long expiration = 86400000; // 24 小时

    public String generateToken(String userId) {
        return Jwts.builder()
            .setSubject(userId)
            .setIssuedAt(new Date())
            .setExpiration(new Date(System.currentTimeMillis() + expiration))
            .signWith(SignatureAlgorithm.HS256, secret)
            .compact();
    }

    public String getUserIdFromToken(String token) {
        return Jwts.parser()
            .setSigningKey(secret)
            .parseClaimsJws(token)
            .getBody()
            .getSubject();
    }

    public boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey(secret).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }
}

@RestController
public class AuthController {
    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestBody LoginRequest req) {
        // 模拟验证账号密码（实际应查数据库）
        if ("admin".equals(req.getUsername()) && "123456".equals(req.getPassword())) {
            String token = jwtUtil.generateToken("10001");
            return ResponseEntity.ok(Map.of("token", token));
        }
        return ResponseEntity.status(401).body("账号或密码错误");
    }
}

public class JwtInterceptor implements HandlerInterceptor {
    @Autowired
    private JwtUtil jwtUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String authHeader = request.getHeader("Authorization");
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            String token = authHeader.substring(7);
            if (jwtUtil.validateToken(token)) {
                // 可将用户 ID 存入 ThreadLocal 或 Request Attribute
                return true;
            }
        }
        response.setStatus(401);
        return false;
    }
}

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JwtInterceptor())
            .addPathPatterns("/api/**")
            .excludePathPatterns("/login");
    }
}

项目	建议
过期时间	Access Token 15~30 分钟，配合 Refresh Token
存储位置	Web 用 HttpOnly Cookie（防 XSS），App 用安全存储
传输协议	必须 HTTPS
密钥管理	用配置中心或环境变量，不要硬编码

JWT 详解：原理、与 Session 区别及 Spring Boot 实战

JWT 详解：原理、对比与 Spring Boot 实战

一、一句话解释 JWT

二、JWT 长什么样？

三、三部分详解（附解码示例）

1. Header（头部）

2. Payload（载荷）— 存放用户信息的地方！

更多推荐文章

相关免费在线工具

3. Signature（签名）— 安全的核心！

四、JWT 认证流程（图解）

五、JWT vs Session（传统方案）

六、Spring Boot 实战：手写 JWT 登录

1. 添加依赖

2. JWT 工具类

3. 登录接口

4. 拦截器：验证 JWT

七、JWT 的致命缺点 & 注意事项

❌ 1. 无法主动登出（除非用黑名单）

❌ 2. Payload 不是加密的！

❌ 3. 密钥泄露 = 全盘崩溃

✅ 最佳实践建议：

总结

更多推荐文章

相关免费在线工具

JWT 详解：原理、与 Session 区别及 Spring Boot 实战

JWT 详解：原理、对比与 Spring Boot 实战

一、一句话解释 JWT

二、JWT 长什么样？

三、三部分详解（附解码示例）

1. Header（头部）

2. Payload（载荷）— 存放用户信息的地方！

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

3. Signature（签名）— 安全的核心！

四、JWT 认证流程（图解）

五、JWT vs Session（传统方案）

六、Spring Boot 实战：手写 JWT 登录

1. 添加依赖

2. JWT 工具类

3. 登录接口

4. 拦截器：验证 JWT

七、JWT 的致命缺点 & 注意事项

❌ 1. 无法主动登出（除非用黑名单）

❌ 2. Payload 不是加密的！

❌ 3. 密钥泄露 = 全盘崩溃

✅ 最佳实践建议：

总结

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具