本文详解如何为web与移动应用设计共享的restful api,摒弃php session依赖,采用jwt令牌实现安全、可扩展的身份验证。
在现代全栈开发中,将Web前端(如Vue/React)与原生或跨平台移动应用(iOS/Android)统一接入同一套后端API,已成为高效维护与快速迭代的标准实践。但这一架构的前提是:API必须严格遵循无状态(stateless)原则——这意味着你不应在API层依赖 $_SESSION 等服务端会话机制。原因在于:
- Session 依赖服务器内存或存储(如Redis),难以水平扩展;
- 移动App通常无法可靠维持HTTP Cookie会话(尤其在后台唤醒、网络切换时);
- 前后端分离架构下,Web前端常运行在独立域名(如 app.example.com),受同源策略与Cookie跨域限制;
- 微服务或容器化部署中,Session粘滞(sticky session)增加运维复杂度。
✅ 正确方案:采用 JWT(JSON Web Token)进行无状态认证
用户登录成功后,后端签发一个经过HMAC或RSA签名的JWT(例如包含 user_id, exp, iat 等声明),返回给客户端。后续所有API请求均在 Authorization: Bearer
示例(PHP + Firebase JWT库):
// 登录成功后生成Token(需先安装 firebase/php-jwt)
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
$payload = [
'user_id' => $userId,
'email' => $userEmail,
'iat' => time(),
'exp' => time() + 3600 // 1小时有效期
];
$secret = $_ENV['JWT_SECRET'];
$token = JWT::encode($payload, $secret, 'HS256');
// 返回给前端/移动端
header('Content-Type: application/json');
echo json_encode(['token' => $token]);// 前端调用API示例(Axios)
axios.get('/api/v1/profile', {
headers: {
'Authorization': 'Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9...'
}
});? 关键注意事项:
- 永远不要在JWT中存放敏感信息(如密码、完整身份证号),Payload是Base64编码、可解码的;
- 使用强密钥(JWT_SECRET)并妥善管理(环境变量注入,禁止硬编码);
- 实现Token刷新机制(如 refresh_token 长期有效,access_token 短期有效),平衡安全性与用户体验;
- 移动端需安全存储Token(iOS Keychain / Android Keystore),Web端建议存于 httpOnly + Secure Cookie 或内存中(避免XSS窃取);
- 所有API路由统一校验Token——无论来自Web还是App,完全共用同一套API代码(入口、路由、控制器、模型),无需为移动端单独建一套API。
✅ 结论:强烈推荐“一套API,多端复用”。它显著降低开发成本、保障数据一致性、简化权限与审计逻辑,并为未来小程序、桌面端等扩展预留接口。只需确保API设计符合REST规范、版本可控(如 /api/v1/)、错误响应统一(如标准HTTP状态码+JSON错误体),你的Dating Site v2就能稳健支撑Web与移动双端长期演进。
