JWT是轻量自包含的令牌格式,用于安全传递用户身份信息;它无须服务端存储session,适合分布式和前后端分离架构,通过签名验证实现高效认证。
JWT(JSON Web Token)是一种轻量、自包含的令牌格式,用来在客户端和服务器之间安全地传递用户身份信息。它不依赖服务端存储 session,适合分布式系统和前后端分离架构。登录成功后,服务器生成一个签名过的 JWT 返回给前端,前端后续请求带上这个 token,服务端只需验证签名和有效期,就能确认用户身份——省去了查数据库或 Redis 的开销。
使用主流库 firebase/php-jwt(推荐 Composer 安装)最简单。关键三步:
$key = 'your-secret-key';),建议存环境变量,别硬编码
iss(签发者)、iat(签发时间)、exp(过期时间)、uid(用户ID)等字段JWT::encode($payload, $key, 'HS256') 得到 token 字符串注意:exp 必须设置,否则 token 永不过期,有安全隐患;iat 和 exp 都用 time() 时间戳。
每次受保护接口收到请求时,从 Authorization: Bearer xxx 头里提取 token,然后验证:
立即学习“PHP免费学习笔记(深入)”;
JWT::decode($token, $key, ['HS256']) 解码并校验签名与过期时间ExpiredException、SignatureInvalidException 等异常,统一返回 401 错误uid 就是当前登录用户 ID,可直接用于查询用户数据或权限判断别跳过异常处理——无效或过期 token 必须拦截,不能让程序继续执行。
一个最小可用的登录 API 示例(基于原生 PHP 或 Slim/Laravel 路由均可):
username 和 password
['uid' => $user['id'], 'iat' => time(), 'exp' => time() + 3600]
['token' => $jwt, 'expires_in' => 3600]
前端拿到 token 后存在 localStorage 或 sessionStorage,后续请求自动带入 Authorization 头。
基本上就这些。JWT 不复杂但容易忽略签名安全和过期控制,把密钥管好、异常捕获全、payload 别塞敏感信息(比如密码、手机号),就能稳稳跑起来。
以上就是PHP JWT认证入门指南_PHP基于JWT的登录流程的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
709
收藏
取消收藏
