Java 21使用JJWT 0.13.0的最新正确用法示例

　　发布于2026-04-28　阅读（0）

扫一扫，手机访问

基于 JJWT 0.13.0 API 的正确代码示例和 Ma ven 依赖。

Ja va 21使用JJWT 0.13.0的最新正确用法示例

确认 Ma ven 依赖

动手之前，第一步永远是确认依赖。请务必检查你的 pom.xml，确保使用了正确的配置。从 JJWT 0.13.0 版本开始，库采用了更清晰的模块化架构，依赖项也相应拆分。

        
            io.jsonwebtoken
            jjwt-api
            0.13.0
        
        
            io.jsonwebtoken
            jjwt-impl
            0.13.0
            runtime
        
        
            io.jsonwebtoken
            jjwt-jackson 
            0.13.0
            runtime

这里有个关键点需要注意：根据公开的依赖更新日志，0.13.0 版本确实存在，但社区的主流文档和示例目前大多仍围绕更成熟的 0.11.x 系列。在 0.11.5 中，Jwts.parserBuilder() 就已经是官方推荐的标准用法了。如果你确定要使用 0.13.0，其核心 API 设计理念与 0.11.x 基本一致，但稳妥起见，强烈建议查阅其官方发布说明，以确认是否有任何细微但重要的变更。

使用新 API 的 JWT 工具类

理解了依赖，接下来就是实战。下面这个工具类示例，完全基于最新的 parserBuilder() 风格 API 构建，可以直接拿来参考或集成。

首先，是一个简单的配置类，用于集中管理 JWT 相关参数：

public class SecurityProperties {   
     private JwtConfig jwt = new JwtConfig();     
          /**
         * JWT密钥 - 至少32字节（256位）用于HMAC-SHA算法
         */
        private String secret;
        /**
         * JWT过期时间（秒）
         */
        private Long expiration = 86400L;
        /**
         * JWT刷新过期时间（秒）
         */
        private Long refreshExpiration = 604800L;
        /**
         * JWT签发者
         */
        private String issuer = "you-system";
        /**
         * JWT受众
         */
        private String audience = "you-client";
        /**
         * JWT令牌前缀
         */
        private String tokenPrefix = "Bearer";
    }
 }

然后是核心的工具类，包含了令牌的生成与解析：

import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import ja vax.crypto.SecretKey;
import ja va.util.Date;
import ja va.util.Map;
public class JwtUtil {
    private final SecretKey secretKey;
    private final long expirationMs;
    public JwtUtil(SecretKey secretKey, long expirationMs) {
        this.secretKey = secretKey;
        this.expirationMs = expirationMs;
    }
    /**
     * 生成JWT令牌
     *
     * @param subject 主题（如用户ID）
     * @param claims 自定义声明（载荷）
     * @return 生成的JWT字符串
     */
    public String generateToken(String subject, Map claims) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        Date exp = new Date(nowMillis + expirationMs);
			// 过期方法
       //  JwtBuilder builder = Jwts.builder()
       //          .setSubject(subject)
       //          .setIssuedAt(now)
       //          .setExpiration(exp)
       //          .signWith(secretKey); // 直接使用SecretKey对象
       String refreshTokenIssuer = securityProperties.getJwt().getIssuer() + "-refresh";
        // 替换方法
         JwtBuilder builder = Jwts.builder().claims(claims)
                .subject(subject)
                .issuedAt(toDate(now))
                .expiration(toDate(expirationTime))
                .issuer(refreshTokenIssuer) // 设置刷新令牌签发者
                .audience().add(securityProperties.getJwt().getAudience()).and() // 使用配置的受众
                .signWith(getSecretKey(), Jwts.SIG.HS512); // 使用HS512算法签名
        if (claims != null) {
            builder.setClaims(claims);
        }
        // 压缩生成最终令牌
        return builder.compact();
    }
    /**
     * 解析并验证JWT令牌（使用新API Jwts.parserBuilder()）
     *
     * @param token 待解析的JWT字符串
     * @return 解析出的声明（Claims）
     * @throws JwtException 如果令牌无效、过期或签名验证失败
     */
    public Claims parseToken(String token) throws JwtException {
       // 过时方法
       // return Jwts.parserBuilder() // 使用新的parserBuilder
       //         .setSigningKey(secretKey) // 设置签名密钥
       //         .build() // 构建不可变的、线程安全的JwtParser实例
       //         .parseClaimsJws(token) // 解析并验证JWT
       //         .getBody(); // 获取载荷（Claims）
       // 替换方法
        return Jwts.parser()
                .verifyWith(getSecretKey())
                .build()
                .parseSignedClaims(token)
                .getPayload();
    }
}

密钥生成与管理

安全是 JWT 的基石，而密钥管理则是安全的核心。上面的工具类使用了 ja vax.crypto.SecretKey 对象，那么如何安全地生成和保管它呢？JJWT 提供了非常便捷的工具类。

import io.jsonwebtoken.security.Keys;
import ja vax.crypto.SecretKey;
import ja va.util.Base64;
public class KeyGenerator {
    public static void main(String[] args) {
        // 为HS256算法生成一个安全的密钥 SignatureAlgorithm.HS256 过时替换 Jwts.SIG.HS512
        SecretKey key = Keys.secretKeyFor(Jwts.SIG.HS512);
        // 如果需要将密钥以字符串形式保存（如存储在配置文件中），可以编码为Base64
        String base64Key = Base64.getEncoder().encodeToString(key.getEncoded());
        System.out.println("Base64 encoded key: " + base64Key);
        // 在应用启动时，可以从Base64字符串重新构造SecretKey
        // byte[] decodedKey = Base64.getDecoder().decode(base64Key);
        // SecretKey originalKey = new SecretKeySpec(decodedKey, 0, decodedKey.length, "HmacSHA256");
    }
}

这里必须敲一下黑板：在生产环境中，密钥绝不允许硬编码在源代码里。务必从安全的配置源获取，例如环境变量、专业的密钥管理服务（如 AWS KMS, HashiCorp Vault）或加密的配置文件。这是防止密钥泄露的生命线。

如何使用工具类

工具类和密钥都准备好了，怎么用呢？下面是一个完整的演示流程，从初始化到生成再到解析验证，一目了然。

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.security.Keys;
import ja vax.crypto.SecretKey;
import ja va.util.HashMap;
import ja va.util.Map;
public class Application {
    public static void main(String[] args) {
        // 1. 生成密钥（在实际应用中，这个密钥应该来自安全配置）
        SecretKey secretKey = Keys.secretKeyFor(Jwts.SIG.HS512);
        long expirationMs = 24 * 60 * 60 * 1000; // 24小时
        // 2. 初始化JWT工具类
        JwtUtil jwtUtil = new JwtUtil(secretKey, expirationMs);
        // 3. 准备自定义声明
        Map claims = new HashMap<>();
        claims.put("userId", 1001);
        claims.put("role", "admin");
        // 4. 生成JWT令牌
        String subject = "user123";
        String jwtToken = jwtUtil.generateToken(subject, claims);
        System.out.println("Generated JWT: " + jwtToken);
        // 5. 解析和验证JWT令牌
        try {
            Claims parsedClaims = jwtUtil.parseToken(jwtToken);
            System.out.println("Token subject: " + parsedClaims.getSubject());
            System.out.println("User ID from token: " + parsedClaims.get("userId", Integer.class));
        } catch (JwtException e) {
            System.err.println("JWT validation failed: " + e.getMessage());
        }
    }
}

核心变更与总结

最后，我们来梳理一下这次升级或新上手需要把握的几个核心要点：

API 设计更清晰：新的 JwtParser 通过 Builder 模式构建，产生的实例是不可变且线程安全的，这符合现代 API 设计的最佳实践。
密钥安全升级：强烈推荐使用 io.jsonwebtoken.security.Keys 工具类来生成强随机性的 SecretKey 对象，这比手动处理字符串密钥更安全、更规范。
依赖结构模块化：务必检查并正确配置你的依赖，确保同时引入了 jjwt-api（接口）、jjwt-impl（运行时实现）以及序列化支持（如 jjwt-jackson）。

希望这份基于最新 API 的指南，能帮助你平滑地完成 JWT 相关的开发或升级工作。如果在密钥管理策略或具体的异常处理场景中遇到更深层次的问题，相关的社区讨论和官方文档总是最好的延伸阅读材料。

本文转载于：https://www.jb51.net/program/3624142fy.htm 如有侵犯，请联系zhengruancom@outlook.com删除。
免责声明：正软商城发布此文仅为传递信息，不代表正软商城认同其观点或证实其描述。

上一篇：棉花音乐app有哪些歌曲源-棉花音乐app歌曲源包含什么

下一篇：Maven本地仓库替代私仓配置指南

产品推荐

售后无忧
立即购买>

DAEMON Tools Lite 10【序列号终身授权 + 中文版 + Win】

￥150.00
office旗舰店
售后无忧
立即购买>

DAEMON Tools Ultra 5【序列号终身授权 + 中文版 + Win】

￥198.00
office旗舰店
售后无忧
立即购买>

DAEMON Tools Pro 8【序列号终身授权 + 中文版 + Win】

￥189.00
office旗舰店
售后无忧
立即购买>

CorelDRAW X8 简体中文【标准版 + Win】

￥1788.00
office旗舰店

正版软件

Composer内存超限报错修复_修改PHP内存限制配额【干货】

最可靠方法是运行php --ini或phpinfo()确认实际加载的php.ini路径；Loaded Configuration File行显示生效文件，若为none则用内置默认值，且CLI与Web可能使用不同配置文件。这里有个关键点：直接修改 php.ini 文件，并不总是能解决问题。真正起决定

7分钟前 0
正版软件

Sublime怎么配置Elixir开发环境？Sublime编写Elixir代码高亮

Sublime怎么配置Elixir开发环境？Sublime编写Elixir代码高亮给Sublime Text配置Elixir开发环境，很多人第一步就错了。核心不是一股脑儿装插件，而是遵循一个清晰的顺序：先让编辑器认出Elixir语法，再谈构建和智能提示。否则，你得到的可能只是“有颜色的文本”，而非

7分钟前 0
正版软件

VSCode占用内存过高怎么办_VSCode降低内存占用设置方法【解决】

VSCode 内存高主因是扩展、文件监听或语言服务器，禁用高耗插件、限制 watcher 范围、调低大文件内存上限并重启窗口可降内存 30%–60% VSCode 内存占用居高不下，十有八九不是编辑器本身的问题。真正的“内存大户”往往藏在后台：那些持续运行的扩展、无休止的文件监听任务，或是某个语言服

7分钟前 0
正版软件

VSCode背景图片自定义_打造个性化二次元开发界面

VSCode背景图片自定义：打造个性化二次元开发界面 Background Cover 扩展是当前唯一稳定生效的方案首先得明确一点：VSCode本身并不支持设置背景图片。那些在网络上流传的、试图通过修改workbench.background或backgroundImage等原生配置来实现的方法，

8分钟前 0
正版软件

怎么在VSCode里开启代码粘性滚动-长函数顶部悬浮显示方法

Sticky Scroll：VSCode 1.84+ 的动态上下文导航，到底怎么用？先明确一个核心概念：Sticky Scroll 可不是那种鼠标悬停才出现的“悬浮提示”。它的工作逻辑很独特——当你向下滚动代码时，它会自动将当前嵌套作用域（比如一个 class、def 或者 if 块）的起始行，“

9分钟前 0