0

0

php怎么实现JWT认证_php生成与验证Token教程【鉴权】

穿越時空

穿越時空

发布时间:2026-02-21 09:59:13

|

319人浏览过

|

来源于php中文网

原创

使用 firebase/php-jwt 生成和验证 jwt 最稳妥,它正确处理算法、时间校验、header/payload 分离及 leeway 容错;需注意密钥强度、敏感信息不入 payload、手动截取 bearer 前缀、显式指定算法数组、decode 返回对象而非数组,且 jwt 无法主动作废,需配合黑名单或短时效+刷新机制。

php怎么实现jwt认证_php生成与验证token教程【鉴权】

PHP 生成 JWT Token 用 firebase/php-jwt 最稳

不用自己手写 Base64Url 编码或签名逻辑,firebase/php-jwt 是目前 PHP 社区最被验证过的实现。它处理了密钥类型(HS256 / RS256)、时间戳校验、header payload 分离等细节,自己造轮子容易漏掉 nbf(not before)或 leeway 时间容错,导致 Token 在边缘时间点失效。

安装:

composer require firebase/php-jwt

生成示例(HS256):

$payload = [
    'user_id' => 123,
    'exp' => time() + 3600,
    'iat' => time(),
];
$token = \Firebase\JWT\JWT::encode($payload, 'your-secret-key', 'HS256');

注意点:

  • expiat 必须是 int 类型时间戳,传字符串会静默失败
  • 密钥长度不足会影响 HS256 安全性,建议至少 32 字节随机字符串
  • 别把敏感字段(如密码、手机号)塞进 payload,JWT 是可解码的,不是加密容器

验证 JWT 时必须设 leeway 防止服务器时间偏差

常见错误:Token 到期报 ExpiredException,但本地测试明明没超时。本质是服务器之间时间不同步,哪怕差 2 秒,exp 校验就挂了。

立即学习PHP免费学习笔记(深入)”;

正确做法是设置宽容秒数:

\Firebase\JWT\JWT::$leeway = 5; // 允许前后 5 秒误差
$decoded = \Firebase\JWT\JWT::decode($token, 'your-secret-key', ['HS256']);

其他关键校验项:

SauceNAO
SauceNAO

SauceNAO是一个专注于动漫领域的以图搜图工具

下载
  • 必须显式传入算法数组(['HS256']),否则可能被篡改 header 算法绕过签名检查
  • decode() 返回对象,不是数组;要取字段得用 $decoded->user_id,不是 $decoded['user_id']
  • 如果用 RS256,第二个参数是 OpenSSLAsymmetricKey 或 PEM 字符串,不是普通字符串密钥

Bearer Token 解析要手动截掉 Bearer 前缀

HTTP 请求头里通常是 Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9...,直接拿整个值去 decode() 会报 DomainException: Signature verification failed —— 因为开头多了 Bearer 7 个字符。

安全提取方式:

$authHeader = $_SERVER['HTTP_AUTHORIZATION'] ?? '';
if (strpos($authHeader, 'Bearer ') === 0) {
    $token = substr($authHeader, 7);
} else {
    http_response_code(401);
    exit('Invalid auth header');
}

补充提醒:

  • 别依赖 getallheaders(),在 CGI/FastCGI 下可能不可用,优先读 $_SERVER
  • 空格、换行、制表符都可能导致 substr 错位,建议加 trim()
  • 不校验 header 是否存在就直接 substr,会触发 Notice: Uninitialized string offset

JWT 不适合登出和权限实时变更

Token 一旦签发就无法主动作废,服务端没状态。用户点击“退出登录”,只是前端删了 localStorage 里的 token,但这个 token 在有效期内仍能继续访问接口。

可行缓解方案:

  • 维护一个 Redis 黑名单(blacklist:token:{sha256}),验证前先查是否存在,过期时间设为原 Token 剩余有效期
  • 把权限信息(如角色、菜单)放在数据库,每次请求用 user_id 查最新权限,而不是全塞进 JWT
  • 缩短 exp 时间(如 15 分钟),配合前端自动刷新机制(用 refresh token 换新 access token)

真正难处理的是:用户在 A 设备登出,B 设备 Token 还在有效期内,且权限已变——这种场景 JWT 天然不覆盖,得靠额外机制兜底。

相关文章

PHP速学教程(入门到精通)
PHP速学教程(入门到精通)

PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!

下载

本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
string转int
string转int

在编程中,我们经常会遇到需要将字符串(str)转换为整数(int)的情况。这可能是因为我们需要对字符串进行数值计算,或者需要将用户输入的字符串转换为整数进行处理。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

790

2023.08.02

登录token无效
登录token无效

登录token无效解决方法:1、检查token的有效期限,如果token已经过期,需要重新获取一个新的token;2、检查token的签名,如果签名不正确,需要重新获取一个新的token;3、检查密钥的正确性,如果密钥不正确,需要重新获取一个新的token;4、使用HTTPS协议传输token,建议使用HTTPS协议进行传输 ;5、使用双因素认证,双因素认证可以提高账户的安全性。

6404

2023.09.14

登录token无效怎么办
登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容,供大家免费下载体验。

837

2023.09.14

token怎么获取
token怎么获取

获取token值的方法:1、小程序调用“wx.login()”获取 临时登录凭证code,并回传到开发者服务器;2、开发者服务器以code换取,用户唯一标识openid和会话密钥“session_key”。想了解更详细的内容,可以阅读本专题下面的文章。

1087

2023.12.21

token什么意思
token什么意思

token是一种用于表示用户权限、记录交易信息、支付虚拟货币的数字货币。可以用来在特定的网络上进行交易,用来购买或出售特定的虚拟货币,也可以用来支付特定的服务费用。想了解更多token什么意思的相关内容可以访问本专题下面的文章。

1650

2024.03.01

js 字符串转数组
js 字符串转数组

js字符串转数组的方法:1、使用“split()”方法;2、使用“Array.from()”方法;3、使用for循环遍历;4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容,供大家免费下载体验。

594

2023.08.03

js截取字符串的方法
js截取字符串的方法

js截取字符串的方法有substring()方法、substr()方法、slice()方法、split()方法和slice()方法。本专题为大家提供字符串相关的文章、下载、课程内容,供大家免费下载体验。

217

2023.09.04

java基础知识汇总
java基础知识汇总

java基础知识有Java的历史和特点、Java的开发环境、Java的基本数据类型、变量和常量、运算符和表达式、控制语句、数组和字符串等等知识点。想要知道更多关于java基础知识的朋友,请阅读本专题下面的的有关文章,欢迎大家来php中文网学习。

1555

2023.10.24

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

796

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PHP课程
PHP课程

共137课时 | 12.2万人学习

JavaScript ES5基础线上课程教学
JavaScript ES5基础线上课程教学

共6课时 | 11.3万人学习

PHP新手语法线上课程教学
PHP新手语法线上课程教学

共13课时 | 0.9万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号