XuLaLa.Tech

JWT（JSON Web Token）是一种用于在网络应用中传递声明的紧凑、安全的方式。它在身份验证、信息交换等场景中得到了广泛应用。使用PHP创建一个用户登录的场景很多，那如何使用PHP快速实现一个JWT呢？

依赖安装

在实现JWT之前，确保你已经安装了PHP和Composer。然后通过Composer安装 firebase/php-jwt 包：

composer require firebase/php-jwt

步骤一：创建JWT

首先，我们需要创建一个JWT。以下是一个简单的例子，展示如何创建JWT：

<?php
require 'vendor/autoload.php';
use \Firebase\JWT\JWT;
$key = "example_key";
$payload = array(
"iss" => "http://example.org",
"aud" => "http://example.com",
"iat" => 1356999524,
"nbf" => 1357000000,
"data" => [
"id" => 1,
"username" => "user1"
]
);
$jwt = JWT::encode($payload, $key);
echo "JWT: " . $jwt;
?>

在这个例子中：

• key 是用于签名JWT的密钥。实际应用中应使用更复杂和安全的密钥。
• payload 是包含了要传递的声明的数组。
• JWT::encode 方法用于将负载编码为JWT。

步骤二：解码和验证JWT

接下来，我们需要解码和验证JWT，以确保其真实性和有效性。

<?php
require 'vendor/autoload.php';
use \Firebase\JWT\JWT;
$key = "example_key";
$jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwOi8vZXhhbXBsZS5vcmciLCJhdWQiOiJodHRwOi8vZXhhbXBsZS5jb20iLCJpYXQiOjEzNTY5OTk1MjQsIm5iZiI6MTM1NzAwMDAwMCwiZGF0YSI6eyJpZCI6MSwidXNlcm5hbWUiOiJ1c2VyMSJ9fQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c";
try {
$decoded = JWT::decode($jwt, $key, array('HS256'));
$decoded_array = (array) $decoded;
print_r($decoded_array);
} catch (\Firebase\JWT\ExpiredException $e) {
echo 'Token expired';
} catch (\Firebase\JWT\SignatureInvalidException $e) {
echo 'Invalid signature';
} catch (Exception $e) {
echo 'Error decoding token: ' . $e->getMessage();
}
?>

在这个例子中：

• JWT::decode 方法用于解码JWT。它需要JWT字符串、签名密钥和一个包含允许算法的数组。
• 解码后的JWT是一个PHP对象，可以通过类型转换将其转换为数组。

步骤三：使用JWT进行身份验证

在实际应用中，JWT常用于身份验证。以下是一个示例，展示如何在用户登录时生成JWT，并在后续请求中验证JWT：

用户登录时生成JWT

<?php
require 'vendor/autoload.php';
use \Firebase\JWT\JWT;
function generateJWT($user) {
$key = "example_key";
$payload = array(
"iss" => "http://yourdomain.com",
"aud" => "http://yourdomain.com",
"iat" => time(),
"nbf" => time(),
"exp" => time() + (60 * 60), // 1 hour expiration
"data" => [
"id" => $user['id'],
"username" => $user['username']
]
);
return JWT::encode($payload, $key);
}
// 假设用户已通过验证
$user = ['id' => 1, 'username' => 'user1'];
$jwt = generateJWT($user);
echo "JWT: " . $jwt;
?>

请求中验证JWT

<?php
require 'vendor/autoload.php';
use \Firebase\JWT\JWT;
function validateJWT($jwt) {
$key = "example_key";
try {
$decoded = JWT::decode($jwt, $key, array('HS256'));
return (array) $decoded->data;
} catch (\Firebase\JWT\ExpiredException $e) {
echo 'Token expired';
} catch (\Firebase\JWT\SignatureInvalidException $e) {
echo 'Invalid signature';
} catch (Exception $e) {
echo 'Error decoding token: ' . $e->getMessage();
}
return null;
}
// 假设从请求头中获取了JWT
$jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwOi8veW91cmRvbWFpbi5jb20iLCJhdWQiOiJodHRwOi8veW91cmRvbWFpbi5jb20iLCJpYXQiOjE2MTE0ODg4MDAsIm5iZiI6MTYxMTQ4ODgwMCwiZXhwIjoxNjExNDkyNDAwLCJkYXRhIjp7ImlkIjoxLCJ1c2VybmFtZSI6InVzZXIxIn19.4JPnOhY7_nU9MOB-5m-aeWqfOkX0H3JkAnfsCek08IQ";
$user_data = validateJWT($jwt);
if ($user_data) {
echo "User ID: " . $user_data['id'];
echo "Username: " . $user_data['username'];
}
?>

通过上述步骤可以在PHP中实现JWT的生成和验证。JWT提供了一种安全、轻量的方式来进行身份验证和信息传递。通过使用 firebase/php-jwt 库，方便地在PHP项目中集成JWT，提升应用的安全性和可扩展性。