In questo articolo vediamo, passo dopo passo, come aggiungere l'autenticazione basata su JSON Web Token (JWT) a una semplice API REST realizzata con Spring Boot. L'obiettivo è costruire un flusso completo:
- Un endpoint di login che riceve le credenziali.
- La generazione di un JWT firmato.
- La validazione del token su tutte le richieste protette.
1. Cosa sono i JWT (JSON Web Token)
Un JWT è una stringa composta da tre parti (header, payload, signature), codificate in Base64URL
e separate da punti. Viene tipicamente inviato nel campo Authorization dell'header HTTP
usando lo schema Bearer:
Authorization: Bearer <token-jwt>Il server firma il token con una chiave segreta (o una coppia di chiavi pubblica/privata). A ogni richiesta, il token viene verificato: se è valido e non scaduto, l'utente è considerato autenticato.
2. Prerequisiti del progetto
- Java 17 o superiore.
- Spring Boot 3.x.
- Maven (nell'esempio) o Gradle.
Immaginiamo di avere un progetto Spring Boot creato da Spring Initializr con le dipendenze: Spring Web, Spring Security, Spring Data JPA, H2 Database (o un altro DB a scelta).
2.1 Dipendenze Maven
Aggiungiamo le dipendenze per JWT usando la libreria jjwt:
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>
<dependency>
<groupId>com.h2database</groupId>
<artifactId>h2</artifactId>
<scope>runtime</scope>
</dependency>
<!-- Libreria JWT -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.5</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
</dependencies>3. Configurazione delle proprietà
Nel file application.properties definiamo la chiave segreta e la durata del token,
insieme a una configurazione minimale del database:
spring.datasource.url=jdbc:h2:mem:testdb
spring.datasource.driverClassName=org.h2.Driver
spring.datasource.username=sa
spring.datasource.password=
spring.jpa.hibernate.ddl-auto=update
jwt.secret=una-chiave-segreta-molto-lunga-e-complessa-123456789
jwt.expiration=3600000
Il valore di jwt.secret deve essere lungo e difficile da indovinare. In produzione va
protetto adeguatamente (ad esempio tramite variabili d'ambiente o un secret manager).
4. Modello utente e repository
Definiamo una semplice entità User che implementa UserDetails oppure, in alternativa,
possiamo avere un'entità personalizzata e adattarla in uno UserDetails separato.
Per semplicità useremo direttamente UserDetails.
package com.example.demo.user;
import jakarta.persistence.*;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.Collection;
import java.util.List;
@Entity
@Table(name = "users")
public class User implements UserDetails {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
@Column(unique = true, nullable = false)
private String username;
private String password;
private String role = "ROLE_USER";
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return List.of(() -> role);
}
@Override
public String getPassword() {
return password;
}
@Override
public String getUsername() {
return username;
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
// getter e setter omessi per brevità
}Repository per l'utente:
package com.example.demo.user;
import org.springframework.data.jpa.repository.JpaRepository;
import java.util.Optional;
public interface UserRepository extends JpaRepository<User, Long> {
Optional<User> findByUsername(String username);
}5. UserDetailsService personalizzato
Spring Security utilizza uno UserDetailsService per caricare i dettagli dell'utente.
package com.example.demo.security;
import com.example.demo.user.User;
import com.example.demo.user.UserRepository;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
@Service
public class JpaUserDetailsService implements UserDetailsService {
private final UserRepository userRepository;
public JpaUserDetailsService(UserRepository userRepository) {
this.userRepository = userRepository;
}
@Override
public UserDetails loadUserByUsername(String username)
throws UsernameNotFoundException {
return userRepository.findByUsername(username)
.orElseThrow(() -> new UsernameNotFoundException("User not found"));
}
}6. Servizio per la gestione dei JWT
Creiamo un servizio che si occupa di generare e validare i token. Usiamo io.jsonwebtoken.
package com.example.demo.security;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.io.Decoders;
import io.jsonwebtoken.security.Keys;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Service;
import java.security.Key;
import java.util.Date;
import java.util.function.Function;
@Service
public class JwtService {
@Value("${jwt.secret}")
private String secretKey;
@Value("${jwt.expiration}")
private long jwtExpirationMs;
private Key getSignInKey() {
byte[] keyBytes = Decoders.BASE64.decode(secretKey);
return Keys.hmacShaKeyFor(keyBytes);
}
public String extractUsername(String token) {
return extractClaim(token, Claims::getSubject);
}
public <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
final Claims claims = extractAllClaims(token);
return claimsResolver.apply(claims);
}
private Claims extractAllClaims(String token) {
return Jwts
.parserBuilder()
.setSigningKey(getSignInKey())
.build()
.parseClaimsJws(token)
.getBody();
}
public String generateToken(UserDetails userDetails) {
Date now = new Date();
Date expiry = new Date(now.getTime() + jwtExpirationMs);
return Jwts.builder()
.setSubject(userDetails.getUsername())
.setIssuedAt(now)
.setExpiration(expiry)
.signWith(getSignInKey(), SignatureAlgorithm.HS256)
.compact();
}
public boolean isTokenValid(String token, UserDetails userDetails) {
final String username = extractUsername(token);
return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
}
private boolean isTokenExpired(String token) {
return extractExpiration(token).before(new Date());
}
private Date extractExpiration(String token) {
return extractClaim(token, Claims::getExpiration);
}
}
Nota: qui assumiamo che jwt.secret sia una stringa Base64. In alternativa puoi gestire
la chiave in modo diverso (ad esempio generando un array di byte direttamente).
7. Filtro JWT
Ora creiamo un filtro che intercetta ogni richiesta, legge il token dal'header
Authorization, lo valida e imposta l'utente nel contesto di sicurezza.
package com.example.demo.security;
import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import java.io.IOException;
@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
private final JpaUserDetailsService userDetailsService;
private final JwtService jwtService;
public JwtAuthenticationFilter(JpaUserDetailsService userDetailsService,
JwtService jwtService) {
this.userDetailsService = userDetailsService;
this.jwtService = jwtService;
}
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain)
throws ServletException, IOException {
final String authHeader = request.getHeader("Authorization");
final String jwt;
final String username;
if (authHeader == null || !authHeader.startsWith("Bearer ")) {
filterChain.doFilter(request, response);
return;
}
jwt = authHeader.substring(7);
username = jwtService.extractUsername(jwt);
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
if (jwtService.isTokenValid(jwt, userDetails)) {
UsernamePasswordAuthenticationToken authToken =
new UsernamePasswordAuthenticationToken(
userDetails,
null,
userDetails.getAuthorities()
);
authToken.setDetails(
new WebAuthenticationDetailsSource().buildDetails(request)
);
SecurityContextHolder.getContext().setAuthentication(authToken);
}
}
filterChain.doFilter(request, response);
}
}8. Configurazione di Spring Security
Con Spring Security 6 configuriamo una SecurityFilterChain e registriamo il filtro JWT
prima del filtro di autenticazione stateless predefinito.
package com.example.demo.security;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig {
private final JwtAuthenticationFilter jwtAuthFilter;
private final JpaUserDetailsService userDetailsService;
public SecurityConfig(JwtAuthenticationFilter jwtAuthFilter,
JpaUserDetailsService userDetailsService) {
this.jwtAuthFilter = jwtAuthFilter;
this.userDetailsService = userDetailsService;
}
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.csrf(csrf -> csrf.disable())
.sessionManagement(session ->
session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
.authorizeHttpRequests(auth -> auth
.requestMatchers("/api/auth/**").permitAll()
.anyRequest().authenticated()
)
.authenticationProvider(authenticationProvider())
.addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class);
return http.build();
}
@Bean
public AuthenticationProvider authenticationProvider() {
DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
authProvider.setUserDetailsService(userDetailsService);
authProvider.setPasswordEncoder(passwordEncoder());
return authProvider;
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public AuthenticationManager authenticationManager(AuthenticationConfiguration config)
throws Exception {
return config.getAuthenticationManager();
}
}9. DTO e controller di autenticazione
Ci serve un DTO per il login e uno per la risposta contenente il token.
package com.example.demo.auth;
public class AuthRequest {
private String username;
private String password;
// getter e setter
}package com.example.demo.auth;
public class AuthResponse {
private String token;
public AuthResponse(String token) {
this.token = token;
}
public String getToken() {
return token;
}
}Controller per gestire il login:
package com.example.demo.auth;
import com.example.demo.security.JwtService;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/api/auth")
public class AuthController {
private final AuthenticationManager authenticationManager;
private final JwtService jwtService;
public AuthController(AuthenticationManager authenticationManager,
JwtService jwtService) {
this.authenticationManager = authenticationManager;
this.jwtService = jwtService;
}
@PostMapping("/login")
public AuthResponse login(@RequestBody AuthRequest request) {
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(
request.getUsername(),
request.getPassword()
)
);
UserDetails user = (UserDetails) authentication.getPrincipal();
String token = jwtService.generateToken(user);
return new AuthResponse(token);
}
}10. Endpoint protetto di esempio
Creiamo un semplice controller con un endpoint protetto:
package com.example.demo.api;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class HelloController {
@GetMapping("/api/hello")
public String hello() {
return "Ciao, utente autenticato!";
}
}11. Popolare il database con un utente di test
Per provare rapidamente, possiamo creare un comando che inserisce un utente in H2 all'avvio dell'applicazione.
package com.example.demo;
import com.example.demo.user.User;
import com.example.demo.user.UserRepository;
import org.springframework.boot.CommandLineRunner;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
public class DataInitializer {
@Bean
CommandLineRunner initUsers(UserRepository userRepository,
PasswordEncoder passwordEncoder) {
return args -> {
if (userRepository.findByUsername("user").isEmpty()) {
User user = new User();
user.setUsername("user");
user.setPassword(passwordEncoder.encode("password"));
user.setRole("ROLE_USER");
userRepository.save(user);
}
};
}
}12. Flusso di utilizzo dell'API
- Avvia l'applicazione Spring Boot.
-
Esegui una richiesta
POSTa/api/auth/logincon JSON:{ "username": "user", "password": "password" } -
Riceverai una risposta con il token:
{ "token": "<jwt>" } -
Usa questo token per chiamare l'endpoint protetto:
curl -H "Authorization: Bearer <jwt>" http://localhost:8080/api/hello
13. Considerazioni di sicurezza e miglioramenti
- Usa HTTPS per tutte le richieste, così il token non viaggia in chiaro.
- Configura la scadenza del token in modo adeguato e valuta l'uso di refresh token.
- Non memorizzare il token in
localStoragesenza valutarne i rischi; spesso è preferibile usarlo in un cookie sicuro e con flag HTTPOnly. - Gestisci correttamente il logout lato client (dimenticando il token) e, se necessario, mantieni una blacklist server-side.
Partendo da questa base puoi estendere il modello utenti, gestire ruoli e permessi più complessi, aggiungere i refresh token e integrare l'autenticazione con front-end e servizi esterni.