SpringSecurity构建基于JWT的登录认证实现

最近项目的登录验证部分，采用了 JWT 验证的方式。并且既然采用了 Spring Boot 框架，验证和权限管理这部分，就自然用了 Spring Security。这里记录一下具体实现。一言以蔽之，JWT 可以携带非敏感信息，并具有不可篡改性。可以通过验证是否被篡改，以及读取信息内容，完成网络认证的三个问题：“你是谁”、“你有哪些权限”、“是不是冒充的”。为了安全，使用它需要采用 Https 协议，并且一定要小心防止用于加密的密钥泄露。采用 JWT 的认证方式下，服务端并不存储用户状态信息，有效期内无法废弃，有效期到期后，需要重新创建一个新的来替换。目标功能点通过填写用户名和密码登录。每次请求验证 token 有效性和权限，在无有效 token 时抛出 401 未授权错误。