JWT生成Token詳解

一、JWT生成Token原理

JSON Web Token（JWT）是一種可擴展的標準和非常流行的在網路中傳輸數據的方式。JWT由三部分組成：Header（頭部）、Payload（載荷）和Signature（簽名）。Header描述token的簽名演算法，Payload是攜帶數據的部分，Signature是將Header和Payload進行簽名的結果。使用JWT生成Token的原理是，服務端對用戶身份進行認證，生成含有用戶信息的Token，然後將Token傳遞給客戶端。客戶端在以後的請求中攜帶這個Token，服務端解析Token，驗證其有效性。

二、JWT生成Token被Security攔截

在Spring Security框架中，我們可以通過配置TokenAuthenticationFilter過濾器來使得JWT生成的Token被Security攔截，並進行身份驗證。TokenAuthenticationFilter通過把Token解析出的用戶信息存儲在SecurityContext中，然後就可以用來進行身份驗證和授權。

三、JWT生成Token代碼

public static String generateToken(UserDetails userDetails) {
    Map claims = new HashMap();
    claims.put("sub", userDetails.getUsername());
    claims.put("created", new Date());
    claims.put("roles", userDetails.getAuthorities());
    claims.put("id", userDetails.getId());
    return Jwts.builder()
            .setClaims(claims)
            .setExpiration(new Date(System.currentTimeMillis() + 3600000))
            .signWith(SignatureAlgorithm.HS512, "mySecretKey")
            .compact();
}

上面的代碼是一個生成JWT Token的示例。首先，我們創建一個存放用戶信息的claims對象，然後在claims對象中添加用戶信息。接著，我們通過JwtBuilder來構造Token，設置claims，設置Token的過期時間，選擇簽名演算法等。

四、JWT生成Token帶過期時間

在上面的代碼中，我們通過調用setExpiration方法來設置Token的過期時間。Token過期後，客戶端不能再使用該Token進行請求。

五、JWT生成Token退出登錄

在實際應用中，當用戶退出登錄時，由於JWT Token的過期時間比較長，並且客戶端可以將Token緩存在本地，所以即使用戶退出登錄，Token還是可以繼續使用。因此，我們需要在服務端創建黑名單，將已經失效的Token添加到黑名單中，這樣客戶端攜帶失效的Token請求服務端時，服務端會拒絕請求。

六、JWT生成Token需要時間

在加密和解密Token時需要時間，這個時間不應該太短，否則容易被攻擊。因此，在生成JWT Token時，我們需要權衡Token的過期時間和加密解密所需要的時間。通常情況下，Token的過期時間設置為1小時，加密解密所需要的時間約為1秒。

七、JWT生成Token的演算法

JWT支持多種簽名演算法，常用的有HS256、HS384、HS512等。在實際開發中，我們可以根據實際需要選擇簽名演算法。

八、JWT生成Token怎麼刪除

JWT Token可以通過設置過期時間失效。但是，在某些情況下，我們需要在Token失效之前將其刪除，這就需要在服務端創建一個黑名單，將已失效的Token添加到黑名單中，客戶端攜帶失效的Token請求服務端時，服務端會拒絕請求。

九、JWT生成Token常問面試題

以下是關於JWT生成Token的一些常問面試題：

1. JWT生成Token的流程是怎樣的?
2. 為什麼要使用JWT生成Token?
3. JWT生成Token的特點有哪些？
4. JWT生成Token的優點和缺點是什麼？
5. 怎樣在JWT生成Token中實現許可權控制？

以上是關於JWT生成Token的一些常見問題，了解這些問題可以幫助我們更好的理解JWT生成Token的原理和應用。