JWT生成与验证实战教程详解

学习文章要努力，但是不要急！今天的这篇文章《PHP生成与验证JWT实战教程》将会介绍到等等知识点，如果你想深入学习文章，可以关注我！我会持续更新相关文章的，希望对大家都能有所帮助！

使用firebase/php-jwt库可高效实现PHP的JWT创建与验证。1. 通过Composer安装库；2. 创建JWT时定义头部、载荷并用密钥签名；3. 验证JWT需检查签名有效性及过期时间等声明，确保令牌安全可靠。

PHP要创建和验证JWT（JSON Web Token），最直接有效的方式就是利用现成的、社区广泛认可的第三方库。这东西本质上就是一种紧凑、自包含的方式，用于在各方之间安全地传输信息。你可以把它想象成一个加密的、带签名的数字信封，里面装着一些声明（claims），比如用户ID、过期时间等等。在PHP里，我们通常会借助Composer安装一个像firebase/php-jwt这样的库来搞定这一切，它把那些复杂的加密和编码细节都封装好了，用起来非常顺手。

要实现PHP中JWT的创建与验证，核心步骤就是引入一个可靠的库，然后按照它的API来操作。我个人比较推荐使用firebase/php-jwt，它功能全面，社区活跃，维护也比较及时。

1. 安装库 你得通过Composer把这个库拉到你的项目里：

composer require firebase/php-jwt

2. 创建JWT 创建JWT其实就是构造一个包含头部（Header）、载荷（Payload）和签名（Signature）的字符串。头部通常指定了加密算法和令牌类型，载荷则承载了实际的用户信息和一些标准声明，而签名是用来验证令牌完整性的。

<?php
require_once 'vendor/autoload.php';

use Firebase\JWT\JWT;

// 你的秘密密钥，非常重要，必须保密！
$secretKey = 'your_super_secret_key_here'; 

// 头部信息
$header = [
    'alg' => 'HS256', // 使用HMAC SHA256算法
    'typ' => 'JWT'    // 类型是JWT
];

// 载荷信息 (Payload)
$payload = [
    'iss' => 'http://example.com', // 签发者
    'aud' => 'http://example.org', // 接收者
    'iat' => time(),               // 签发时间
    'nbf' => time(),               // 在此之前不可用
    'exp' => time() + (60 * 60),   // 过期时间，这里设置1小时后过期
    'data' => [                    // 自定义数据
        'userId' => 123,
        'userName' => 'JohnDoe'
    ]
];

try {
    // 使用JWT::encode方法生成JWT
    $jwt = JWT::encode($payload, $secretKey, 'HS256');
    echo "生成的JWT: " . $jwt . "\n";
} catch (Exception $e) {
    echo "生成JWT失败: " . $e->getMessage() . "\n";
}
?>

这里有个小细节，JWT::encode方法的第三个参数是算法名称，它需要和header['alg']匹配。我通常会直接写死，确保一致性。

3. 验证JWT 验证JWT的过程就是解码并检查其完整性和有效性。库会根据提供的密钥和算法自动验证签名，我们还需要手动检查一些载荷中的声明，比如过期时间。

<?php
require_once 'vendor/autoload.php';

use Firebase\JWT\JWT;
use Firebase\JWT\Key;
use Firebase\JWT\ExpiredException;
use Firebase\JWT\SignatureInvalidException;
use UnexpectedValueException;

$secretKey = 'your_super_secret_key_here'; // 必须和生成时的密钥一致
$receivedJwt = 'eyJhb

好了，本文到此结束，带大家了解了《JWT生成与验证实战教程详解》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！