本文介绍如何为 web 应用与移动应用设计共享的 restful api,并采用 jwt 代替 php session 实现安全、可扩展的无状态身份认证。
在现代全栈开发中,将 Web 前端(如 Vue/React)、移动端(iOS/Android)与后端 API 解耦已成为标准实践。你当前基于 $_SESSION 的 PHP 登录机制虽适用于传统 HTML+PHP 网站,但不适用于面向多端的 API 架构——因为 Session 依赖服务器端存储和 Cookie 绑定,违背了 REST 的无状态(stateless)原则,且难以适配移动端(如无法可靠传递 Cookie、跨域限制、原生 App 对 PHP Session ID 管理复杂)。
✅ 正确方案:采用 JWT(JSON Web Token)进行无状态认证
用户登录成功后,服务端生成一个签名 JWT(含用户 ID、角色、过期时间等声明),返回给客户端;后续所有 API 请求需在 HTTP Header 中携带该 Token(通常为 Authorization: Bearer <token>)。服务端仅需验证签名与有效期,无需查 session 存储,真正实现轻量、可水平扩展、跨平台兼容。
以下是一个精简的 PHP JWT 登录接口示例(使用 firebase/php-jwt 库):
// login.php —— 统一认证入口
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
// 验证账号密码(此处省略数据库查询逻辑)
if ($user = validateCredentials($email, $password)) {
$payload = [
'user_id' => $user['id'],
'email' => $user['email'],
'exp' => time() + 3600, // 1小时过期
'iat' => time(),
'iss' => 'your-dating-api.com'
];
$jwt = JWT::encode($payload, $_ENV['JWT_SECRET'], 'HS256');
header('Content-Type: application/json');
echo json_encode(['token' => $jwt, 'expires_in' => 3600]);
}对应地,受保护接口(如 /api/v1/chat/messages)只需中间件校验 Token:
// middleware/auth.php
try {
$authHeader = $_SERVER['HTTP_AUTHORIZATION'] ?? '';
if (preg_match('/Bearer\s(\S+)/', $authHeader, $matches)) {
$token = $matches[1];
$decoded = JWT::decode($token, new Key($_ENV['JWT_SECRET'], 'HS256'));
$_SESSION['current_user'] = (array)$decoded; // 仅用于临时上下文,非存储态
} else {
throw new Exception('Invalid token format');
}
} catch (Exception $e) {
http_response_code(401);
echo json_encode(['error' => 'Unauthorized']);
exit;
}? 关键结论与建议:
- ✅ 共用同一套 API 是最佳实践:Web 和移动端应调用完全相同的 RESTful 接口(如 /api/v1/users/me, /api/v1/messages),仅通过请求头(Authorization)、响应格式(JSON)和业务逻辑区分,避免重复开发、维护两套逻辑带来的技术债。
- ❌ 不要为移动端另建“专用 API”:除非存在极端差异(如需深度集成 iOS 推送或 Android 后台服务),否则独立 API 将导致认证逻辑分裂、数据模型不一致、Bug 修复需双倍工作量。
- ? 安全增强建议:
- 使用 HTTPS 强制加密传输;
- JWT 密钥(JWT_SECRET)务必通过环境变量管理,禁止硬编码;
- 敏感操作(如修改密码、删除账户)建议增加二次验证(如短信/邮箱验证码);
- 可结合 Redis 实现 Token 黑名单(用于主动登出或敏感操作后失效)。
最终,一套设计良好、以 JWT 为核心的无状态 API,不仅能无缝支撑你的 Web v2 和未来移动端,也为将来接入小程序、桌面客户端甚至第三方开放平台打下坚实基础。
