如何在PHP中实现API认证？使用JWT生成和验证令牌-php教程-PHP中文网

如何在PHP中实现API认证？使用JWT生成和验证令牌

蓮花仙者

发布： 2025-09-05 12:13:01

原创

1022人浏览过

答案：使用JWT实现API认证需选择合适库如firebase/php-jwt，登录后生成含用户信息和过期时间的令牌，客户端通过Authorization头发送Bearer令牌，服务端验证签名、检查有效期并处理异常，建议使用HTTPS、设置合理过期时间、结合HTTP-only Cookie存储，并可选刷新令牌与黑名单机制提升安全性。

如何在php中实现api认证？使用jwt生成和验证令牌

API认证的核心在于验证请求者的身份，确保只有授权的用户或应用才能访问受保护的资源。JWT（JSON Web Token）是一种流行的、轻量级的解决方案，用于在客户端和服务器之间安全地传递信息。它通过数字签名保证信息的完整性和可信度。

解决方案

要在PHP中实现API认证，使用JWT生成和验证令牌，你可以遵循以下步骤：

选择JWT库： 首先，你需要选择一个PHP的JWT库。比较流行的选择包括
```
firebase/php-jwt
```
登录后复制
和
```
lcobucci/jwt
```
登录后复制
。这里我们以
```
firebase/php-jwt
```
登录后复制
为例。

立即学习“PHP免费学习笔记（深入）”；
```
composer require firebase/php-jwt
```
登录后复制

生成JWT： 在用户登录成功后，生成JWT令牌。令牌包含用户的相关信息（例如用户ID）以及过期时间。

<?php
require_once 'vendor/autoload.php';

use Firebase\JWT\JWT;

$secretKey  = 'your_secret_key'; // 强烈建议使用随机生成的强密钥
$issuedAt   = time();
$expire     = $issuedAt + (60 * 60); // Token 有效期为 1 小时
$serverName = $_SERVER['SERVER_NAME'];

$data = [
    'iat'  => $issuedAt,         // Issued at: 时间戳
    'iss'  => $serverName,       // Issuer
    'nbf'  => $issuedAt,         // Not before
    'exp'  => $expire,           // Expire
    'data' => [                  // Payload
        'userId' => 123,
        'userName' => 'exampleUser'
    ]
];

$jwt = JWT::encode(
    $data,      //Data to be encoded in the JWT
    $secretKey, // The signing key
    'HS256'     // Algorithm used to sign the token, use HS256
);

echo $jwt; // 将 JWT 返回给客户端
?>

登录后复制

客户端存储JWT： 客户端（例如，Web应用或移动应用）需要安全地存储JWT。通常，将其存储在HTTP-only cookie或localStorage中是常见的做法。
发送JWT： 客户端在每个受保护的API请求中，将JWT包含在
```
Authorization
```
登录后复制
头部中，使用
```
Bearer
```
登录后复制
方案。
```
Authorization: Bearer <your_jwt_token>
```
登录后复制

验证JWT： 在服务器端，对于每个受保护的API端点，都需要验证JWT。

<?php
require_once 'vendor/autoload.php';

use Firebase\JWT\JWT;
use Firebase\JWT\Key;

$secretKey  = 'your_secret_key';
$jwt = $_SERVER['HTTP_AUTHORIZATION']; // 从Authorization头部获取JWT
$jwt = str_replace('Bearer ', '', $jwt); // 去除Bearer前缀

try {
    $decoded = JWT::decode($jwt, new Key($secretKey, 'HS256'));

    // JWT 验证成功，可以访问 $decoded 中的数据
    $userId = $decoded->data->userId;
    echo "User ID: " . $userId;

} catch (\Exception $e) {
    // JWT 验证失败
    http_response_code(401); // Unauthorized
    echo 'Unauthorized: ' . $e->getMessage();
}
?>

登录后复制

处理过期令牌： 在验证JWT时，库会自动检查令牌是否已过期。如果过期，将抛出一个异常，你需要捕获该异常并返回相应的错误代码（例如，401 Unauthorized）。
续签令牌（可选）： 为了提高安全性，你可以实现令牌续签机制。当令牌接近过期时，客户端可以请求一个新的令牌。

副标题1

如何选择合适的JWT库？

选择JWT库时，应考虑以下因素：

安全性： 库是否维护良好，是否有已知的安全漏洞？
性能： 库的性能如何？它是否会成为性能瓶颈？
易用性： 库的API是否易于使用和理解？
依赖性： 库的依赖性如何？它是否引入了不必要的依赖？
社区支持： 库是否有活跃的社区支持？

firebase/php-jwt

登录后复制

是一个广泛使用的选择，因为它相对简单且易于使用。

lcobucci/jwt

登录后复制

则提供了更多的功能和灵活性，但可能需要更多的配置。

绘蛙AI修图

绘蛙平台AI修图工具，支持手脚修复、商品重绘、AI扩图、AI换色

264

查看详情

副标题2

如何安全地存储JWT？

JWT的安全性取决于其存储方式。以下是一些建议：

HTTP-only Cookie： 将JWT存储在HTTP-only cookie中可以防止客户端JavaScript访问令牌，从而降低XSS攻击的风险。
localStorage： 如果必须使用JavaScript访问令牌，则可以使用localStorage。但是，这会增加XSS攻击的风险。务必对所有用户输入进行适当的验证和转义。
sessionStorage： sessionStorage与localStorage类似，但仅在浏览器会话期间有效。
避免明文存储： 永远不要在明文中存储JWT。

副标题3

如何处理JWT被盗用的情况？

即使采取了所有预防措施，JWT仍然可能被盗用。以下是一些应对措施：

缩短令牌有效期： 缩短令牌有效期可以降低被盗用令牌的危害。
黑名单机制： 实现一个黑名单机制，允许你撤销特定的令牌。当用户注销时，你可以将该用户的令牌添加到黑名单中。
刷新令牌： 使用刷新令牌机制，允许客户端在令牌过期后请求一个新的令牌，而无需重新登录。
监控： 监控API请求，检测异常行为。如果检测到可疑活动，立即采取行动。

副标题4

JWT的HS256和RS256算法有什么区别？应该选择哪一个？

HS256（HMAC with SHA-256）是一种对称加密算法，使用相同的密钥进行签名和验证。RS256（RSA with SHA-256）是一种非对称加密算法，使用私钥进行签名，使用公钥进行验证。

HS256： 简单、快速，但安全性较低。如果密钥泄露，攻击者可以伪造令牌。
RS256： 更安全，因为私钥永远不需要暴露给客户端。即使公钥泄露，攻击者也无法伪造令牌。

通常建议使用RS256，因为它更安全。但是，如果性能是关键因素，或者你对密钥管理有严格的控制，则可以使用HS256。使用RS256时，需要妥善保管私钥，并确保公钥可以安全地分发给客户端。

副标题5

如何防止JWT重放攻击？

JWT重放攻击是指攻击者截获有效的JWT，并在稍后重新使用它来访问受保护的资源。以下是一些防止重放攻击的方法：

使用
exp
登录后复制
声明：
```
exp
```
登录后复制
声明指定令牌的过期时间。确保所有令牌都设置了合理的过期时间。
使用
jti
登录后复制
声明：
```
jti
```
登录后复制
声明（JWT ID）为每个令牌分配一个唯一的ID。服务器可以跟踪已使用的
```
jti
```
登录后复制
值，并拒绝重复使用的令牌。
使用
iat
登录后复制
声明：
```
iat
```
登录后复制
声明（Issued At）指定令牌的颁发时间。服务器可以拒绝在颁发时间之前收到的令牌。
使用随机数： 在令牌中包含一个随机数，并确保服务器在处理请求时验证该随机数。
TLS/SSL： 使用TLS/SSL加密所有API请求，以防止中间人攻击。