JWT是轻量自包含的令牌格式,用于安全传递用户身份信息;它无须服务端存储session,适合分布式和前后端分离架构,通过签名验证实现高效认证。
JWT是什么,为什么用它做登录认证
JWT(JSON Web Token)是一种轻量、自包含的令牌格式,用来在客户端和服务器之间安全地传递用户身份信息。它不依赖服务端存储 session,适合分布式系统和前后端分离架构。登录成功后,服务器生成一个签名过的 JWT 返回给前端,前端后续请求带上这个 token,服务端只需验证签名和有效期,就能确认用户身份——省去了查数据库或 Redis 的开销。
PHP 中生成 JWT 的核心步骤
使用主流库 firebase/php-jwt(推荐 Composer 安装)最简单。关键三步:
- 准备密钥(如
$key = 'your-secret-key';),建议存环境变量,别硬编码 - 构造 payload,至少包含
iss(签发者)、iat(签发时间)、exp(过期时间)、uid(用户ID)等字段 - 调用
JWT::encode($payload, $key, 'HS256')得到 token 字符串
注意:exp 必须设置,否则 token 永不过期,有安全隐患;iat 和 exp 都用 time() 时间戳。
PHP 验证 JWT 并获取用户信息
每次受保护接口收到请求时,从 Authorization: Bearer xxx 头里提取 token,然后验证:
立即学习“PHP免费学习笔记(深入)”;
- 用
JWT::decode($token, $key, ['HS256'])解码并校验签名与过期时间 - 捕获
ExpiredException、SignatureInvalidException等异常,统一返回 401 错误 - 解码成功后,payload 里的
uid就是当前登录用户 ID,可直接用于查询用户数据或权限判断
别跳过异常处理——无效或过期 token 必须拦截,不能让程序继续执行。
登录接口的典型 PHP 实现逻辑
一个最小可用的登录 API 示例(基于原生 PHP 或 Slim/Laravel 路由均可):
- 接收 POST 的
username和password - 查数据库比对凭证(记得用 password_verify() 验证 bcrypt 密码)
- 验证通过后,组装 payload:
['uid' => $user['id'], 'iat' => time(), 'exp' => time() + 3600] - 生成 token,返回 JSON:
['token' => $jwt, 'expires_in' => 3600]
前端拿到 token 后存在 localStorage 或 sessionStorage,后续请求自动带入 Authorization 头。
基本上就这些。JWT 不复杂但容易忽略签名安全和过期控制,把密钥管好、异常捕获全、payload 别塞敏感信息(比如密码、手机号),就能稳稳跑起来。
以上就是PHP JWT认证入门指南_PHP基于JWT的登录流程的详细内容,更多请关注php中文网其它相关文章!
相关标签: