PHP轻量API网关鉴权需拦截请求验签/验Token,验证失败返回401并清除敏感头;通过file_get_contents('php://input')获取原始body,手动构建HTTP头并用curl_setopt($ch, CURLOPT_POSTFIELDS, $rawBody)转发,所有微服务调用必须走HTTP,严禁include本地调用。
怎么用 PHP 实现一个轻量 API 网关的鉴权逻辑
PHP 本身不是网关首选语言,但如果你已有 PHP 后端、又不想引入 Nginx Lua 或 Envoy,完全可以写一个「前置鉴权层」——核心是拦截请求、验签/验 token、再用 curl 转发。关键不在“全功能”,而在“不绕过鉴权”。
常见错误现象:401 返回了,但后端微服务仍被直连;或转发时丢失了 Content-Type、Authorization 头导致下游解析失败。
- 必须校验
Authorization头(如Bearer xxx)或自定义签名参数(如sign+timestamp),验证失败直接exit或返回401 - 验证通过后,用
curl_init()构造请求,显式设置curl_setopt($ch, CURLOPT_HTTPHEADER, $headers),别依赖curl_setopt($ch, CURLOPT_HEADER, true)自动透传——它不保留原始头 - 微服务地址建议从配置读取(如
$services['user'] = 'http://user-svc:8001'),避免硬编码;路径拼接用parse_url()+http_build_query(),别字符串拼接
PHP 转发请求时如何保持原始 body 和 header 不出错
很多 PHP 网关卡在转发环节:POST 数据空、JSON 解析失败、文件上传中断。根本原因是没正确处理 php://input 和 $_SERVER['HTTP_*'] 的映射。
使用场景:微服务要求严格 Content-Type(如 application/json),且需原样接收 raw body;或前端带 X-Request-ID、X-Forwarded-For 等透传头。
立即学习“PHP免费学习笔记(深入)”;
-
file_get_contents('php://input')是唯一可靠方式获取原始 body,$_POST和$_FILES在非application/x-www-form-urlencoded场景下为空 - 手动构建 header 数组时,把
$_SERVER中所有HTTP_*键转成标准格式(如HTTP_X_REQUEST_ID → X-Request-ID),再合并你自己的头(如X-Forwarded-For: $_SERVER['REMOTE_ADDR']) - 务必设置
curl_setopt($ch, CURLOPT_POSTFIELDS, $rawBody),而不是curl_setopt($ch, CURLOPT_POST, true)—— 后者会触发 form 编码,破坏 JSON 结构
为什么不能直接 include 微服务代码做“本地调用”
看似省事,实则破坏微服务边界,让鉴权层和业务耦合,后续无法独立扩缩容、灰度、升级。
性能 / 兼容性影响:本地 include 会共享 PHP 进程内存、autoloader、全局状态(如 error_reporting、ini_set),一个微服务的异常可能污染整个网关进程;且无法利用 HTTP 负载均衡、超时重试、熔断等基础设施能力。
- 所有微服务调用必须走 HTTP(
curl或file_get_contents),哪怕它们部署在同一台机器,也应走127.0.0.1或 service name - 不要在网关里写数据库查询、Redis 操作——这些该由对应微服务自己完成;网关只做路由、限流、鉴权、日志埋点
- 如果真要“零延迟”,那说明你并不需要微服务架构,直接拆模块即可;强行套网关只会增加故障面
鉴权失败时,怎么避免暴露后端微服务地址
这是最容易被忽略的安全细节:网关返回的 401 响应里,若包含 X-Powered-By、Server 头,或错误信息里带 user-svc:8001,等于告诉攻击者内部拓扑。
可给出简短示例:
header('HTTP/1.1 401 Unauthorized');
header('Content-Type: application/json; charset=utf-8');
// 删掉这些:
// header('X-Powered-By: PHP/' . PHP_VERSION);
// header('Server: Apache');
echo json_encode(['code' => 401, 'msg' => 'Unauthorized']);
- 用
header_remove('X-Powered-By')和header_remove('Server')清除默认头(注意 PHP 版本兼容性,header_remove≥ 5.3) - 错误响应体里禁止出现任何微服务域名、端口、路径、框架名(如
Laravel、Spring Boot) - 日志中记录原始请求信息(
$_SERVER['REQUEST_URI'],$_SERVER['HTTP_AUTHORIZATION']),但日志输出到文件时,确保不被 Web 直接访问
真正难的不是写转发逻辑,而是守住边界:鉴权层不碰业务数据、不缓存响应、不修改 body 结构、不泄露后端细节。一旦开始在网关里加业务规则,就离不可维护不远了。
