在 Spring Boot 中,浏览器获取登录信息的核心是 “身份认证状态的存储与传递”——登录成功后,服务端会生成用户身份凭证,浏览器通过特定机制存储该凭证,后续请求时自动携带,服务端验证凭证后即可识别用户身份,返回对应的登录信息。
以下是主流实现方案,从原理到具体操作逐步说明:
一、核心逻辑:登录信息的“存储-传递-验证”流程
无论哪种方案,本质都是3步:
- 登录成功:用户提交账号密码,服务端验证通过后,生成包含用户身份(如用户ID、角色)的凭证(如Session ID、JWT Token);
- 凭证存储:服务端存储凭证与用户信息的关联(如Session内存、Redis),浏览器存储凭证(如Cookie、LocalStorage);
- 后续请求:浏览器携带凭证发起请求,服务端验证凭证有效性,从关联存储中取出用户信息,供业务使用(如返回用户昵称、权限)。
二、主流实现方案(按常用程度排序)
方案1:基于 Session + Cookie(传统经典方案)
这是 Spring Boot 整合 Spring Security/Shiro 时的默认方案,依赖 HTTP 协议的 Cookie 和服务端 Session 机制。
原理
- Session:服务端创建的内存/持久化存储(如Redis),存储用户登录信息(用户ID、角色等),每个Session对应唯一的
JSESSIONID(凭证); - Cookie:浏览器自动存储
JSESSIONID,后续请求时自动在 HTTP 头的Cookie字段中携带该ID; - 流程:
- 用户登录 → 服务端验证通过 → 创建 Session(存储用户信息)→ 响应时通过
Set-Cookie头将JSESSIONID发送给浏览器; - 浏览器保存
JSESSIONID到 Cookie; - 后续请求 → 浏览器自动携带
JSESSIONID(Cookie 字段)→ 服务端通过JSESSIONID找到对应的 Session → 取出用户登录信息。
- 用户登录 → 服务端验证通过 → 创建 Session(存储用户信息)→ 响应时通过
代码实现(Spring Security 示例)
- 引入依赖(Spring Boot 2.x+):
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> - 配置 Spring Security(默认启用 Session + Cookie):
@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // 密码加密器(Spring Security 要求密码必须加密存储) @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } // 模拟用户(实际从数据库查询) @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("admin") .password(passwordEncoder().encode("123456")) .roles("ADMIN"); // 存储用户角色(登录信息的一部分) } // 授权规则(登录接口允许匿名访问) @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() // 登录接口匿名访问 .anyRequest().authenticated() // 其他接口需登录 .and() .formLogin() // 启用默认登录页面(或自定义 loginPage) .defaultSuccessUrl("/user/info") // 登录成功后跳转的接口(获取登录信息) .and() .logout() .permitAll(); } } - 编写接口,获取当前登录用户信息:
@RestController @RequestMapping("/user") public class UserController { // 从 SecurityContext 中获取登录用户信息(Spring Security 自动注入) @GetMapping("/info") public Principal getLoginUser(Principal principal) { // Principal 包含用户名,如需更多信息(如用户ID、昵称),需自定义 User 类 return principal; } } - 浏览器端表现:
- 登录成功后,浏览器会在 Cookie 中存储
JSESSIONID; - 后续访问
/user/info时,浏览器自动携带JSESSIONID,服务端验证后返回当前登录用户(如{"name":"admin"})。
特点
- 优点:简单易用,无需前端额外处理(Cookie 自动携带),安全性较高(可配置 Cookie 为
HttpOnly防止 XSS 攻击); - 缺点:依赖 Cookie,跨域场景需额外配置(如 CORS + Credentials),分布式部署需共享 Session(如 Redis 存储 Session)。
方案2:基于 JWT Token(无状态方案,适合前后端分离/跨域)
JWT(JSON Web Token)是一种无状态凭证,登录成功后服务端生成 Token 并返回给浏览器,浏览器存储 Token(如 LocalStorage),后续请求通过 HTTP 头(如 Authorization: Bearer Token)携带 Token,服务端解析 Token 即可获取用户信息。
原理
- JWT 结构:由 Header(算法)、Payload(用户信息,如用户ID、用户名)、Signature(签名,防止篡改)三部分组成,用
.拼接; - 流程:
- 用户登录 → 服务端验证通过 → 生成 JWT Token(Payload 中嵌入用户信息)→ 返回 Token 给浏览器;
- 浏览器将 Token 存储到 LocalStorage/SessionStorage;
- 后续请求 → 前端在请求头中添加
Authorization: Bearer ${Token}→ 服务端验证 Token 签名(确保未篡改)→ 解析 Payload 中的用户信息。
代码实现(Spring Security + JWT)
- 引入依赖(除 Spring Security 外,需添加 JWT 依赖):
<!-- JWT 依赖 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> - 编写 JWT 工具类(生成 Token、验证 Token、解析用户信息):
@Component public class JwtUtil { // 密钥(生产环境需配置在配置文件,且定期更换) private static final String SECRET = "your-secret-key-32bytes-long-123456"; // Token 过期时间(如 2 小时) private static final long EXPIRATION = 7200000; // 生成 Token(登录成功后调用) public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); claims.put("username", userDetails.getUsername()); claims.put("roles", userDetails.getAuthorities().stream() .map(GrantedAuthority::getAuthority) .collect(Collectors.toList())); return Jwts.builder() .setClaims(claims) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION)) .signWith(SignatureAlgorithm.HS256, SECRET) .compact(); } // 验证 Token 有效性 public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } // 从 Token 中解析用户信息(如用户名) public String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(SECRET) .parseClaimsJws(token) .getBody(); return (String) claims.get("username"); } } - 配置 Spring Security(禁用 Session,使用 JWT 认证):
@Configuration @EnableWebSecurity public class JwtSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtUtil jwtUtil; @Autowired private UserDetailsService userDetailsService; // 自定义用户查询服务(从数据库取用户) // 认证过滤器:解析请求头中的 Token,验证后注入用户信息到 SecurityContext @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(jwtUtil, userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() // 前后端分离场景禁用 CSRF(Token 本身已防篡改) .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 禁用 Session .and() .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); // 添加 JWT 过滤器 } } - 登录接口(生成 Token 并返回):
@RestController public class LoginController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtil jwtUtil; @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) { // 验证账号密码 Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword()) ); SecurityContextHolder.getContext().setAuthentication(authentication); // 生成 JWT Token UserDetails userDetails = (UserDetails) authentication.getPrincipal(); String token = jwtUtil.generateToken(userDetails); // 返回 Token 给浏览器 return ResponseEntity.ok(new JwtResponse(token)); } } // 接收登录请求的实体类 @Data class LoginRequest { private String username; private String password; } // 返回 Token 的实体类 @Data class JwtResponse { private String token; public JwtResponse(String token) { this.token = token; } } - 浏览器端处理:
- 登录成功后,前端将 Token 存储到
localStorage:// 登录请求 fetch('/login', { method: 'POST', headers: {'Content-Type': 'application/json'}, body: JSON.stringify({username: 'admin', password: '123456'}) }) .then(res => res.json()) .then(data => { localStorage.setItem('token', data.token); // 存储 Token }); // 后续请求(携带 Token) fetch('/user/info', { headers: { 'Authorization': `Bearer ${localStorage.getItem('token')}` // 携带 Token } }) .then(res => res.json()) .then(userInfo => console.log('登录用户信息:', userInfo));
特点
- 优点:无状态(服务端无需存储 Session),支持跨域、分布式部署(Token 自带用户信息),适合前后端分离项目;
- 缺点:Token 一旦生成无法主动撤销(需通过过期时间控制或维护黑名单),Payload 不加密(敏感信息需加密存储),前端需手动处理 Token 存储与携带。
方案3:基于 OAuth2.0/OIDC(第三方登录,如微信、QQ、GitHub)
如果需要支持第三方登录(用户无需注册,通过微信/QQ 等账号登录),则使用 OAuth2.0 + OIDC 协议,浏览器通过第三方授权获取身份凭证,服务端验证后获取用户信息。
核心流程
- 浏览器跳转第三方授权页面(如微信登录页);
- 用户授权后,第三方平台返回
code给浏览器; - 浏览器将
code发送给后端,后端通过code向第三方平台请求access_token; - 后端用
access_token调用第三方平台的用户信息接口(如微信的/sns/userinfo),获取用户昵称、头像等信息; - 后端将第三方用户信息与本地用户关联(或自动注册),生成本地登录凭证(如 Session/JWT),返回给浏览器。
代码实现(Spring Security OAuth2.0 示例,以 GitHub 登录为例)
- 引入依赖:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> - 配置 GitHub OAuth2.0 信息(application.yml):
spring: security: oauth2: client: registration: github: client-id: 你的GitHub客户端ID(从GitHub开发者平台申请) client-secret: 你的GitHub客户端密钥 scope: user:email,read:user # 申请的权限(获取用户邮箱、基本信息) provider: github: user-info-uri: https://api.github.com/user email-attribute-name: email - 配置 Spring Security(启用 OAuth2.0 登录):
@Configuration @EnableWebSecurity public class OAuth2SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .oauth2Login() // 启用 OAuth2.0 登录 .defaultSuccessUrl("/user/info", true) // 登录成功后跳转获取用户信息 .userInfoEndpoint() .userService(customOAuth2UserService); // 自定义用户信息处理(关联本地用户) } } - 获取登录用户信息接口:
@RestController @RequestMapping("/user") public class UserController { @GetMapping("/info") public OAuth2User getLoginUser(Authentication authentication) { // OAuth2User 包含第三方用户信息(如GitHub昵称、头像、ID) return (OAuth2User) authentication.getPrincipal(); } } - 浏览器端表现:
- 访问
/user/info时,自动跳转 GitHub 登录页; - 用户登录授权后,跳转回
/user/info,返回 GitHub 用户信息(如昵称、头像URL)。
三、关键注意点
-
安全性:
- Session + Cookie:配置 Cookie 为
HttpOnly(防止 XSS 攻击)、Secure(仅 HTTPS 传输)、SameSite(防止 CSRF 攻击); - JWT:密钥需足够复杂且定期更换,敏感信息(如密码)不能存入 Payload(Payload 可解码),Token 过期时间不宜过长;
- 所有方案都建议使用 HTTPS 传输,防止凭证被窃取。
- Session + Cookie:配置 Cookie 为
-
用户信息扩展:
- 默认的
Principal/UserDetails仅包含用户名和角色,如需用户ID、昵称、邮箱等信息,需自定义User类实现UserDetails,并在登录时注入。
- 默认的
-
跨域处理:
- Session + Cookie:跨域时需配置 CORS 允许
credentials(凭证),前端请求需携带withCredentials: true; - JWT:无跨域限制(Token 通过请求头携带),只需配置 CORS 允许
Authorization头。
- Session + Cookie:跨域时需配置 CORS 允许
-
分布式部署:
- Session + Cookie:需将 Session 存储到共享介质(如 Redis),通过
spring-session-data-redis依赖实现; - JWT:天然支持分布式(无状态),无需额外配置。
- Session + Cookie:需将 Session 存储到共享介质(如 Redis),通过
总结
- 传统项目/非前后端分离:优先使用 Session + Cookie(简单、安全、无需前端额外处理);
- 前后端分离/跨域/分布式项目:优先使用 JWT Token(无状态、易扩展);
- 第三方登录场景:使用 OAuth2.0/OIDC(对接微信、GitHub 等平台)。
无论哪种方案,浏览器获取登录信息的核心都是通过凭证关联服务端的用户身份,差异仅在于凭证的存储方式(Cookie/LocalStorage)和传递方式(自动携带/手动添加请求头)。
