在 codeigniter 4 中使用 firebase jwt 库时,调用 `jwt::encode()` 报错“expected 3 arguments. found 2”,是因为该方法自 v6.0 起强制要求传入签名算法(如 'hs256'),而旧代码仅传递了 payload 和密钥。
JWT::encode() 方法在 Firebase/PHP-JWT 库(v6.0+)中已更新为三参数签名:
JWT::encode($payload, $key, $algorithm);
其中:
- $payload:包含声明(claims)的关联数组(如 iat, nbf, uid, email 等);
- $key:用于签名的密钥(建议通过 getenv('TOKEN_SECRET') 安全读取,并确保 .env 中已正确定义);
- $algorithm:签名算法字符串,必填,常用值为 'HS256'(HMAC-SHA256),其他可选值包括 'HS384', 'HS512', 'RS256' 等(需匹配密钥类型与验证逻辑)。
✅ 正确写法示例:
use Firebase\JWT\JWT;
$key = getenv('TOKEN_SECRET') ?: 'your-fallback-secret';
$payload = [
'iat' => time(), // 签发时间(推荐使用当前时间)
'nbf' => time(), // 生效时间(可设为当前或稍后)
'exp' => time() + 3600, // 过期时间(强烈建议添加,提升安全性)
'uid' => $user['id'],
'email' => $user['email']
];
$token = JWT::encode($payload, $key, 'HS256');⚠️ 注意事项:
- 不要省略 $algorithm:即使使用默认算法,也必须显式传入,否则将触发严格参数检查错误;
- 避免硬编码密钥:生产环境务必通过环境变量管理 TOKEN_SECRET,并确保其长度足够(HS256 建议 ≥32 字节随机字符串);
- 务必设置 exp 声明:无过期时间的 Token 存在严重安全风险;
- 验证端需保持算法一致:解码时 JWT::decode($token, $key, ['HS256']) 的算法数组必须与编码时一致;
- 若使用非对称算法(如 'RS256'),$key 应为 PEM 格式私钥资源,而非字符串。
总结:该错误本质是库升级后的接口变更。补全第三个算法参数即可解决,同时借此机会完善 Token 的时间声明与密钥管理实践,全面提升 API 的安全性与健壮性。
