如何使用CodeIgniter框架实现JWT用户认证并构建无状态API登录?
- 内容介绍
- 文章标签
- 相关推荐
本文共计965个文字,预计阅读时间需要4分钟。
CodeIgniter 4 默认不内置 JWT 支持,但你可以使用轻量级第三方库(如 firebase/php-jwt)来实现真正的无状态 API 认证。关键不在于能不能,而在于要不要绕过 session 和是否接受 token 管理成实体。
为什么不用 CI4 原生 session 做 API 认证
CI4 的 session() 依赖服务端存储(文件/数据库),每次请求需查 session ID、反序列化、验证有效期。这对 Web 页面没问题,但对移动端或跨域 API 来说:
- 无法自然支持多设备登录冲突控制(比如踢掉旧 token)
- 前端必须配合 Cookie 或手动传
X-Session-ID,不符合 RESTful 无状态原则 - 负载均衡下需共享 session 存储,增加运维复杂度
- JWT 可把用户身份、权限、过期时间直接编码进 token,服务端只需验签,不查库
安装与初始化 JWT 库
用 Composer 安装官方推荐的 firebase/php-jwt:
composer require firebase/php-jwt
在 app/Config/Autoload.php 的 $psr4 中注册命名空间(可选,但推荐):
$psr4 = [ 'App\' => APPPATH, 'Firebase\JWT' => ROOTPATH . 'vendor/firebase/php-jwt/src/', ];
注意:不要在控制器里直接 require 或 include JWT 类,CI4 自动加载机制会失效;务必走 Composer autoloader。
登录接口生成 JWT token
在 app/Controllers/AuthController.php 中写登录逻辑,核心是:
- 验证账号密码(用
UserModel查询 +password_verify()) - 构造 payload:至少含
user_id、exp(Unix 时间戳)、iat - 用私钥签名(建议放
app/Config/JWT.php配置中,别硬编码) - 返回
Authorization: Bearer <token>响应头,或直接 JSON 返回 token 字符串
示例关键片段:
$payload = [ 'user_id' => $user['id'], 'exp' => time() + 3600, // 1 小时 'iat' => time(), ]; $token = FirebaseJWTJWT::encode($payload, config('JWT')->secret, 'HS256');
⚠️ 常见错误:JWT::encode() 第三个参数漏写算法名(如 'HS256'),会导致 token 解析失败;exp 必须是整数,不能是 Time::now()->addHours(1)->getTimestamp() 这种对象调用(CI4 的 Time 类返回的是对象,不是 int)。
API 请求拦截:验证并解析 JWT
创建过滤器 app/Filters/JWTAUTH.php,在 before() 中做三件事:
- 从
Authorization请求头提取 token(格式为Bearer xxx) - 用
JWT::decode()验签并捕获异常(DomainException、SignatureInvalidException、BeforeValidException等) - 将解出的 payload 存入
$request->setLocale()或临时属性(如$request->jwt_payload),供后续控制器使用
别在过滤器里查数据库加载用户全量数据——JWT 本身应包含必要字段(如 role、scopes)。如果业务真需要实时权限校验,再单独查一次,但那是额外逻辑,不属于 JWT 验证本身。
路由配置示例(app/Config/Routes.php):
$routes->group(['filter' => 'jwt'], function($routes) { $routes->get('profile', 'ProfileController::show'); $routes->post('posts', 'PostController::create'); });
最易被忽略的一点:JWT 的 exp 是服务器本地时间,如果你的 API 服务部署在多个时区机器上,或系统时间未同步(NTP),会导致 token 提前失效或长期有效——上线前务必检查所有节点的 date 输出是否一致。
本文共计965个文字,预计阅读时间需要4分钟。
CodeIgniter 4 默认不内置 JWT 支持,但你可以使用轻量级第三方库(如 firebase/php-jwt)来实现真正的无状态 API 认证。关键不在于能不能,而在于要不要绕过 session 和是否接受 token 管理成实体。
为什么不用 CI4 原生 session 做 API 认证
CI4 的 session() 依赖服务端存储(文件/数据库),每次请求需查 session ID、反序列化、验证有效期。这对 Web 页面没问题,但对移动端或跨域 API 来说:
- 无法自然支持多设备登录冲突控制(比如踢掉旧 token)
- 前端必须配合 Cookie 或手动传
X-Session-ID,不符合 RESTful 无状态原则 - 负载均衡下需共享 session 存储,增加运维复杂度
- JWT 可把用户身份、权限、过期时间直接编码进 token,服务端只需验签,不查库
安装与初始化 JWT 库
用 Composer 安装官方推荐的 firebase/php-jwt:
composer require firebase/php-jwt
在 app/Config/Autoload.php 的 $psr4 中注册命名空间(可选,但推荐):
$psr4 = [ 'App\' => APPPATH, 'Firebase\JWT' => ROOTPATH . 'vendor/firebase/php-jwt/src/', ];
注意:不要在控制器里直接 require 或 include JWT 类,CI4 自动加载机制会失效;务必走 Composer autoloader。
登录接口生成 JWT token
在 app/Controllers/AuthController.php 中写登录逻辑,核心是:
- 验证账号密码(用
UserModel查询 +password_verify()) - 构造 payload:至少含
user_id、exp(Unix 时间戳)、iat - 用私钥签名(建议放
app/Config/JWT.php配置中,别硬编码) - 返回
Authorization: Bearer <token>响应头,或直接 JSON 返回 token 字符串
示例关键片段:
$payload = [ 'user_id' => $user['id'], 'exp' => time() + 3600, // 1 小时 'iat' => time(), ]; $token = FirebaseJWTJWT::encode($payload, config('JWT')->secret, 'HS256');
⚠️ 常见错误:JWT::encode() 第三个参数漏写算法名(如 'HS256'),会导致 token 解析失败;exp 必须是整数,不能是 Time::now()->addHours(1)->getTimestamp() 这种对象调用(CI4 的 Time 类返回的是对象,不是 int)。
API 请求拦截:验证并解析 JWT
创建过滤器 app/Filters/JWTAUTH.php,在 before() 中做三件事:
- 从
Authorization请求头提取 token(格式为Bearer xxx) - 用
JWT::decode()验签并捕获异常(DomainException、SignatureInvalidException、BeforeValidException等) - 将解出的 payload 存入
$request->setLocale()或临时属性(如$request->jwt_payload),供后续控制器使用
别在过滤器里查数据库加载用户全量数据——JWT 本身应包含必要字段(如 role、scopes)。如果业务真需要实时权限校验,再单独查一次,但那是额外逻辑,不属于 JWT 验证本身。
路由配置示例(app/Config/Routes.php):
$routes->group(['filter' => 'jwt'], function($routes) { $routes->get('profile', 'ProfileController::show'); $routes->post('posts', 'PostController::create'); });
最易被忽略的一点:JWT 的 exp 是服务器本地时间,如果你的 API 服务部署在多个时区机器上,或系统时间未同步(NTP),会导致 token 提前失效或长期有效——上线前务必检查所有节点的 date 输出是否一致。