thinkphp JWT用户认证和无状态登录如何实现-ThinkPHP-PHP中文网

thinkphp JWT用户认证和无状态登录如何实现

裘德小鎮的故事

发布： 2025-09-21 12:48:01

原创

177人浏览过

在ThinkPHP中实现JWT认证需通过签发、携带和验证token完成无状态登录。首先安装firebase/php-jwt库，用户登录成功后生成包含uid、username等信息的JWT token，并设置过期时间，返回给前端存储并随请求放入Authorization头。服务端通过中间件或基础控制器解析Bearer token，使用密钥验证签名有效性，获取用户身份信息。建议将密钥配置在文件中，避免硬编码，合理设置过期时间并结合Redis实现黑名单或刷新机制，敏感数据不存入payload，全程启用HTTPS保障传输安全。该方案支持跨域与分布式部署，提升系统扩展性。

thinkphp jwt用户认证和无状态登录如何实现

在 ThinkPHP 中实现 JWT（JSON Web Token）用户认证和无状态登录，核心是使用 JWT 代替传统的 Session 认证机制。整个流程不依赖服务器端存储会话信息，适合分布式或 API 场景。

JWT 基本原理

JWT 是一种基于 JSON 的开放标准（RFC 7519），用于在各方之间安全传输信息。它由三部分组成：Header、Payload 和 Signature。服务端签发 token 后，客户端后续请求携带该 token 进行身份验证。

优势包括：

无状态：服务端无需保存 session，减轻服务器压力
跨域支持好：适合前后端分离项目
可扩展性强：payload 可携带用户 ID、角色等信息

安装 JWT 扩展库

推荐使用 firebase/php-jwt 库来处理 JWT 编码与解码。

立即学习“PHP免费学习笔记（深入）”；

通过 Composer 安装：

composer require firebase/php-jwt

安装完成后可在控制器或自定义服务类中引入：

use Firebase\JWT\JWT;use Firebase\JWT\Key;

生成 Token（用户登录）

用户登录成功后，服务端生成 JWT 并返回给客户端。

无阶未来模型擂台/AI 应用平台

无阶未来模型擂台/AI 应用平台，一站式模型+应用平台

查看详情

示例代码：

\$key = "your_secret_key"; // 必须保密，建议配置到 config 文件
\$payload = [
    "uid" => \$user['id'],
    "username" => \$user['username'],
    "iat" => time(),
    "exp" => time() + 3600 // 1小时过期
];

\$jwt = JWT::encode(\$payload, \$key, 'HS256');
return json(['token' => \$jwt]);

前端收到 token 后，通常存入 localStorage 或内存，并在每次请求的 Authorization 头中发送：

Authorization: Bearer <token>

验证 Token（中间件/行为）

需要创建一个基础控制器或行为（Behavior），在每个需要认证的接口前自动校验 token。

示例验证逻辑：

\$authHeader = \$_SERVER['HTTP_AUTHORIZATION'] ?? '';
if (preg_match('/Bearer\s(\S+)/', \$authHeader, \$matches)) {
    \$jwt = \$matches[1];
    \$key = "your_secret_key";
    try {
        \$decoded = JWT::decode(\$jwt, new Key(\$key, 'HS256'));
        // \$decoded->uid 可用于后续业务
    } catch (\Exception \$e) {
        return json(['code' => 401, 'msg' => 'Token无效或已过期']);
    }
} else {
    return json(['code' => 401, 'msg' => '缺少Token']);
}