JWT用户认证实战：CodeIgniterAPI登录教程

本文深入讲解了如何在CodeIgniter 4中集成JWT实现安全、无状态的API用户认证，直击传统Session方案在移动端、跨域和分布式场景下的痛点——如多设备控制难、违背RESTful原则、负载均衡复杂等；通过引入firebase/php-jwt库，手把手演示从安装配置、登录签发Token、请求头拦截验签到路由保护的完整链路，并特别强调密钥管理、时间同步、算法参数、类型安全等易错细节，帮助开发者真正理解“为什么用JWT”以及“如何稳健落地”，而非仅停留在代码拼凑层面。

CodeIgniter 4 默认不内置 JWT 支持，但你可以用轻量级第三方库（如 firebase/php-jwt）实现真正的无状态 API 认证——关键不是“能不能”，而是“要不要绕过 session”和“是否接受 token 管理成本”。

为什么不用 CI4 原生 session 做 API 认证

CI4 的 session() 依赖服务端存储（文件/数据库），每次请求需查 session ID、反序列化、验证有效期。这对 Web 页面没问题，但对移动端或跨域 API 来说：

• 无法自然支持多设备登录冲突控制（比如踢掉旧 token）
• 前端必须配合 Cookie 或手动传 X-Session-ID，不符合 RESTful 无状态原则
• 负载均衡下需共享 session 存储，增加运维复杂度
• JWT 可把用户身份、权限、过期时间直接编码进 token，服务端只需验签，不查库

安装与初始化 JWT 库

用 Composer 安装官方推荐的 firebase/php-jwt：

composer require firebase/php-jwt

在 app/Config/Autoload.php 的 $psr4 中注册命名空间（可选，但推荐）：

$psr4 = [
    'App\\'         => APPPATH,
    'Firebase\\JWT' => ROOTPATH . 'vendor/firebase/php-jwt/src/',
];

注意：不要在控制器里直接 require 或 include JWT 类，CI4 自动加载机制会失效；务必走 Composer autoloader。

登录接口生成 JWT token

在 app/Controllers/AuthController.php 中写登录逻辑，核心是：

• 验证账号密码（用 UserModel 查询 + password_verify()）
• 构造 payload：至少含 user_id、exp（Unix 时间戳）、iat
• 用私钥签名（建议放 app/Config/JWT.php 配置中，别硬编码）
• 返回 Authorization: Bearer 响应头，或直接 JSON 返回 token 字符串

示例关键片段：

$payload = [
    'user_id' => $user['id'],
    'exp'     => time() + 3600, // 1 小时
    'iat'     => time(),
];
$token = \Firebase\JWT\JWT::encode($payload, config('JWT')->secret, 'HS256');

⚠️ 常见错误：JWT::encode() 第三个参数漏写算法名（如 'HS256'），会导致 token 解析失败；exp 必须是整数，不能是 Time::now()->addHours(1)->getTimestamp() 这种对象调用（CI4 的 Time 类返回的是对象，不是 int）。

API 请求拦截：验证并解析 JWT

创建过滤器 app/Filters/JWTAUTH.php，在 before() 中做三件事：

• 从 Authorization 请求头提取 token（格式为 Bearer xxx）
• 用 JWT::decode() 验签并捕获异常（DomainException、SignatureInvalidException、BeforeValidException 等）
• 将解出的 payload 存入 $request->setLocale() 或临时属性（如 $request->jwt_payload），供后续控制器使用

别在过滤器里查数据库加载用户全量数据——JWT 本身应包含必要字段（如 role、scopes）。如果业务真需要实时权限校验，再单独查一次，但那是额外逻辑，不属于 JWT 验证本身。

路由配置示例（app/Config/Routes.php）：

$routes->group(['filter' => 'jwt'], function($routes) {
    $routes->get('profile', 'ProfileController::show');
    $routes->post('posts', 'PostController::create');
});

最易被忽略的一点：JWT 的 exp 是服务器本地时间，如果你的 API 服务部署在多个时区机器上，或系统时间未同步（NTP），会导致 token 提前失效或长期有效——上线前务必检查所有节点的 date 输出是否一致。

好了，本文到此结束，带大家了解了《JWT用户认证实战：CodeIgniterAPI登录教程》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！