PHP 8 中 Authorization 请求头无法获取的解决方案

php 8 中 authorization 请求头无法获取的解决方案：php 8 默认不再支持 `apache_request_headers()` 在非 apache sapi 环境下（如 php cli、fpm 或 xampp 内置服务器）正确读取 `authorization` 头，导致 jwt 验证失败；需改用 `getallheaders()` 兼容实现或直接从 `$_server` 变量提取。

在 PHP 8（尤其是 XAMPP 默认使用 Apache + mod_php 时看似兼容，但实际在部分配置或更新后行为已变化）中，apache_request_headers() 函数存在显著限制：它仅在 Apache 模块模式（mod_php）下可靠工作，且对 Authorization 这类敏感头默认被 Apache 屏蔽，除非显式启用 RewriteRule 或 CGIPassAuth 配置。而 PHP 7 中部分旧版 Apache 配置可能默认放行，造成“PHP 7 正常、PHP 8 报错”的假象。

✅ 正确获取 Authorization 头的推荐方式

方案一：优先使用 getallheaders()（需确保可用）

// 替代 apache_request_headers()
if (!function_exists('getallheaders')) {
    function getallheaders() {
        $headers = [];
        foreach ($_SERVER as $name => $value) {
            if (substr($name, 0, 5) === 'HTTP_') {
                $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
            }
        }
        // 特别处理 Authorization（因部分 SAPI 不映射为 HTTP_AUTHORIZATION）
        if (isset($_SERVER['HTTP_AUTHORIZATION'])) {
            $headers['Authorization'] = $_SERVER['HTTP_AUTHORIZATION'];
        } elseif (isset($_SERVER['REDIRECT_HTTP_AUTHORIZATION'])) {
            $headers['Authorization'] = $_SERVER['REDIRECT_HTTP_AUTHORIZATION'];
        }
        return $headers;
    }
}

$authHeader = getallheaders();
$jwt = null;
if (isset($authHeader['Authorization']) && preg_match('/Bearer\s+(.*)$/i', $authHeader['Authorization'], $matches)) {
    $jwt = $matches[1];
} else {
    http_response_code(401);
    echo json_encode(['message' => 'Access token not found.']);
    exit;
}

方案二：直接从 $_SERVER 安全提取（更轻量、兼容性最强）

$jwt = null;
// 尝试多种常见 SERVER 键名（Apache/FPM/Nginx 差异）
$authKeys = ['HTTP_AUTHORIZATION', 'REDIRECT_HTTP_AUTHORIZATION', 'Authorization'];
foreach ($authKeys as $key) {
    if (isset($_SERVER[$key]) && preg_match('/Bearer\s+(.*)$/i', $_SERVER[$key], $matches)) {
        $jwt = $matches[1];
        break;
    }
}

if (!$jwt) {
    http_response_code(401);
    echo json_encode(['message' => 'Authorization header missing or malformed.']);
    exit;
}

⚠️ 注意事项与最佳实践

• 不要依赖 apache_request_headers()：它在 PHP-FPM、CLI、Nginx + PHP-FPM 等主流部署中不可靠，PHP 8 更严格。
• 验证 Bearer 格式：始终用正则 /Bearer\s+(.*)$/i 提取 token，避免空格/大小写问题。
• CORS 配置已正确：你已设置 Access-Control-Allow-Headers: ... Authorization，这是必要前提，但不解决服务端读取问题。
• XAMPP 用户特别提醒：若使用 XAMPP 8.x（含 PHP 8），确认 Apache 是否启用 mod_rewrite，并在 .htaccess 或虚拟主机中添加：

  RewriteEngine On
  RewriteCond %{HTTP:Authorization} ^(.*)
  RewriteRule .* - [e=HTTP_AUTHORIZATION:%1]

  否则 Authorization 头会被 Apache 直接丢弃。

  

  速创猫AI简历

  一键生成高质量简历

  下载

✅ 最终 JWT 解析示例（整合后）

require "../vendor_big/autoload.php";
use Firebase\JWT\JWT;

header("Access-Control-Allow-Origin: *");
header("Content-Type: application/json; charset=UTF-8");
header("Access-Control-Allow-Methods: POST");
header("Access-Control-Max-Age: 3600");
header("Access-Control-Allow-Headers: Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With");

require $_SERVER['DOCUMENT_ROOT'].'/db.php';

$data = json_decode(file_get_contents("php://input"), true);

// ✅ 安全提取 JWT
$jwt = null;
foreach (['HTTP_AUTHORIZATION', 'REDIRECT_HTTP_AUTHORIZATION', 'Authorization'] as $key) {
    if (isset($_SERVER[$key]) && preg_match('/Bearer\s+(.*)$/i', $_SERVER[$key], $matches)) {
        $jwt = $matches[1];
        break;
    }
}
if (!$jwt) {
    http_response_code(401);
    echo json_encode(['message' => 'Unauthorized: No valid Bearer token provided.']);
    exit;
}

$secret_key = "bmR0di1zYWxlcy1hcHAtYWR0ZWNoLXJpc2hp";
try {
    $decoded = JWT::decode($jwt, $secret_key, ['HS256']);
    // ✅ JWT 验证成功，继续业务逻辑
    echo json_encode(['status' => 'success', 'user_id' => $decoded->user_id]);
} catch (Exception $e) {
    http_response_code(401);
    echo json_encode(['message' => 'Invalid or expired token.', 'error' => $e->getMessage()]);
}

通过以上方式，即可彻底解决 PHP 8 下 Authorization not found 的核心问题，确保 JWT 认证在现代 PHP 环境中稳定运行。