在現代web應用程序中，身份驗證和授權是不可或缺的組件。JSON Web Token（JWT）是一種在應用程序之間安全傳遞聲明的開放標準。它們可以被用作身份驗證或者數據交換協議。JWT由三部分組成：header、payload（數據）和signature（簽名）。在這篇文章中，我們將介紹如何使用PHP來驗證JWT。

生成JWT字符串

在使用JWT之前，我們需要生成JWT字符串并將其傳遞給客戶端。我們使用一些基本的關鍵字來生成JWT字符串。以下是一個簡單的PHP代碼片段來生成JWT字符串：

//header
$header = json_encode(['typ' =>'JWT', 'alg' =>'HS256']);
//payload
$payload = json_encode(['user_id' =>123, 'email' =>'example@example.com']);
//generate JWT
$jwt = base64_encode($header) . '.' . base64_encode($payload) . '.' . $signature;

驗證JWT字符串

一旦我們有了JWT字符串，我們需要驗證它，以確保它不被篡改或偽造。我們驗證JWT字符串的簽名，確保該簽名與我們保存的簽名相符。以下是一個簡單的PHP代碼片段來驗證JWT字符串：

$headers = getallheaders();
$auth_header = $headers['Authorization'];
$token = substr($auth_header, strpos($auth_header, ' ') + 1);
$token_segments = explode('.', $token);
//concatenated header and payload
$jwt_signature_input = $token_segments[0] . '.' . $token_segments[1];
//calculate the signature
$jwt_signature = base64_encode(hash_hmac('sha256', $jwt_signature_input, 'mysecret', true));
//verify the signature
if ($jwt_signature === $token_segments[2]) {
//signature is verified
} else {
//signature is not verified
}

使用PHP JWT庫

為了避免手動處理JWT字符串，我們可以使用PHP JWT庫。這個庫提供了很多有用的功能，如創建和驗證JWT。以下是一個示例代碼片段，使用PHP JWT庫來創建和驗證JWT：

//create JWT
use \Firebase\JWT\JWT;
$key = "mysupersecretkey";
$payload = array("user_id" =>123, "email" =>"example@example.com");
$jwt = JWT::encode($payload, $key);
//verify JWT
use \Firebase\JWT\JWT;
$key = "mysupersecretkey";
$jwt = $_SERVER['HTTP_AUTHORIZATION'];
$decoded = JWT::decode($jwt, $key, array('HS256'));

總結

在本文中，我們介紹了使用PHP驗證JWT的方法。我們使用了簡單的PHP代碼來生成、驗證JWT字符串，并介紹了PHP JWT庫，它提供了很多有用的功能，如創建和驗證JWT。