codeigniter 4 中使用 firebase/php-jwt 生成 jwt 时,`jwt::encode()` 方法必须传入三个参数:载荷(payload)、密钥(key)和签名算法(如 'hs256'),缺一不可。
在 CodeIgniter 4 项目中集成 JWT(例如通过 firebase/php-jwt 库)时,常见错误之一是调用 JWT::encode() 时仅传入两个参数,导致 PHP 报错:Expected 3 arguments. Found 2。这是因为该方法自 v6.0 起已强制要求第三个参数——签名算法(signing algorithm),不再支持默认值或自动推断。
✅ 正确用法如下:
use Firebase\JWT\JWT;
$key = getenv('TOKEN_SECRET') ?: 'your-secret-key';
$payload = [
'iat' => time(), // 签发时间(建议用 time() 动态生成)
'nbf' => time() + 10, // 生效时间(10秒后生效,可选)
'uid' => $user['id'],
'email' => $user['email']
];
// ✅ 必须指定算法,HS256 是最常用、推荐的对称加密算法
$token = JWT::encode($payload, $key, 'HS256');⚠️ 注意事项:
- 算法必须显式声明:'HS256'、'HS384'、'HS512'(HMAC-SHA 系列)或 'RS256'(RSA 非对称)等;不支持空字符串或省略。
- 密钥安全性:确保 TOKEN_SECRET 在 .env 中安全配置,且长度足够(HS256 建议 ≥32 字符随机字符串)。
- 版本兼容性:确认安装的是 firebase/php-jwt:^6.0 或更高版本(v5.x 允许两参数,但已弃用且存在安全隐患)。
- 错误处理建议:生产环境应包裹 try-catch,捕获 DomainException、InvalidArgumentException 等异常:
try {
$token = JWT::encode($payload, $key, 'HS256');
} catch (\Exception $e) {
log_message('error', 'JWT encode failed: ' . $e->getMessage());
throw new \RuntimeException('Token generation failed.');
}? 总结:JWT 签名是安全核心环节,算法参数不可省略。始终显式指定强算法(首选 'HS256'),并配合安全密钥与健全的异常处理,才能构建健壮的 API 认证体系。
