PHP JWT（JSON Web Token）是一种安全的跨域认证机制，常用于在Web应用程序和API之间传递身份验证信息。当用户使用Web应用程序登录并请求API时，约定格式的JWT将被包含在请求头中。在API端，连接方可以验证JWT是否有效并相应地决定是否授权访问。 举个栗子，想象您正在构建一个在线购物平台，用户必须登录才能浏览购物车、结账等。现在您正在实施一个购物车接口，但不想让Web应用程序每次发出请求时都要求用户提供凭据。而是可以验证JWT并在Token有效的情况下自动授权访问购物车接口。 因此，如果使用JWT正确，可以减少Web应用程序和API之间的请求次数，优化应用程序性能，并增强安全性。请继续阅读了解如何在PHP中使用JWT。 构建JWT 要使用JWT，需要使用编码和解码库。在PHP中，有许多可以使用的编码和解码库，但这里将使用Firebase JWT库来创建和解码JWT： ```1356999524, "name" =>"John Doe", ); //创建JWT $jwt = JWT::encode($payload, $key); echo $jwt; ?>``` 在此示例中，使用JWT::encode()方法创建JWT。第一个参数是JWT荷载，可以是任何形式的数据。第二个参数是用于签名和验证JWT的密钥。在此示例中，设置名为example_key的秘钥。 由于JWT是一种文本字符串，因此可以将其存储在cookie或本地存储中，以便在应用程序的生命周期内重复使用它。 验证JWT 在获得JWT并存储它后，现在可以在API端验证JWT并决定是否授权访问。下面是一个验证方法： ``` require_once('firebase/php-jwt/src/JWT.php'); use Firebase\JWT\JWT; $jwt = $_COOKIE["jwt"]; $key = "example_key"; try { //验证JWT $decoded = JWT::decode($jwt, $key, array('HS256')); // 授权用户 http_response_code(200); echo json_encode(array("message" =>"Access granted.")); } catch (Exception $e) { //授权拒绝 http_response_code(401); echo json_encode(array("message" =>"Access denied.", "error" =>$e->getMessage())); } ``` 在此示例中，使用JWT::decode()方法解码JWT。第一个参数是JWT字符串，第二个参数是在JWT创建时使用的密钥。在此示例中，设置名为example_key的密钥。第三个参数是要使用的算法。在此示例中，使用HS256，也就是HMAC签名256位。 如果JWT有效，则授权访问，并在HTTP响应代码200和响应中返回证书信息。反之，则返回HTTP响应代码401和错误消息。 总结 使用JWT在PHP中实现跨域认证的核心在于创建和验证JWT。在此示例中，使用Firebase JWT库实现编码和解码JWT。在API端，使用JWT验证库验证JWT并授权用户访问API。使用JWT，可以简化Web应用程序和API之间的身份验证，并提高应用程序的性能和安全性。