JWT，是JSON Web Token的縮寫，是一種在網路應用程序之間傳遞基於 JSON 對象的自包含的方式。JWT 包含由三部分組成的信息：標頭（Header）、數據負載（Payload）和簽名（Signature）。標頭通常包含 token 的類型和所使用的簽名算法。數據負載中包含實際傳遞的信息和一些聲明。簽名部分由編碼後的標頭和數據負載以及密鑰通過簽名算法生成，用於確保 token 的合法性和安全性。

Spring Boot 與 Spring Security:

Spring Boot 是一個基於 Spring 的框架，旨在簡化 Spring 應用程序的配置和開發。Spring Security 是 Spring 框架中的一個子模塊，專注於身份認證和授權。在使用 Spring Boot 構建一個 REST API 時，我們可以利用 Spring Security 來很方便地進行安全配置，比如生成和驗證 JWT，設置安全策略等。

實作步驟:

創建用戶登錄和註冊端點:
首先，我們需要創建用戶的登錄和註冊功能。通過 /login 和 /register 端點來處理這些功能。用戶登入之後，服務器需生成 JWT 並返回給客戶端，客戶端將保存該 JWT 並在後續請求中使用。

生成 JWT 並將其傳回客戶端:
我們可以使用 jjwt 庫來生成 JWT。這可以通過設置用戶名、角色和過期時間等信息，並使用秘鑰進行簽名來完成。一旦 JWT 生成完成，我們將其包含在登錄響應中返回給客戶端。

Client 端如何攜帶 JWT 來進行 API 請求:
在客戶端，我們需要將 JWT 存儲起來（如存儲在 LocalStorage 或 Cookie 中）。在進行 API 請求時，我們需要將 JWT 添加到 HTTP Header 中，通常是 Authorization: Bearer 的格式。

JWT 驗證與過濾:

在服務端，我們需要在每次請求時對 JWT 進行驗證。這可以通過創建一個過濾器來完成，我們需要在過濾器中解析 JWT 並驗證其合法性。如果通過驗證，我們需要將用戶的信息存入 Spring Security 的上下文中，以便後續業務處理能夠識別出用戶身份。具體過程包括創建自訂的 JWT 驗證過濾器，設定該過濾器到 Spring Security 的過濾鏈中，以確保每個請求都要經過該過濾器。

最佳實踐:

使用 JWT 時，有幾個最佳實踐需要注意：

1. 保護 JWT 不被輕易截取：確保使用 HTTPS 協議來保護數據傳輸的安全性。
2. 合理設定 JWT 的過期時間：JWT 過期時間不要設置過長，並且需要實現過期後重新簽發的新機制。
3. 敏感信息的處理：避免將過於敏感的信息寫入 JWT，即使有簽名保護，JWT 內容依然是公開可見的。

總之，Spring Boot 和 JWT 提供了一個靈活且高效的方式來構建安全的 REST API。通過遵循一些簡單的步驟和最佳實踐，我们可以確保 API 的安全性和用戶的數據安全。