一、什么是Token身份验证？

Token身份验证是一种基于Token的身份认证机制。在这种机制下，当用户成功登录后，系统会生成一个独特的Token，并将该Token返回给用户。用户随后在每次请求时，将Token附加在请求头中，服务端会根据该Token验证用户身份。这种机制的优点在于允许服务端保持无状态，而全权由Token来管理用户会话状态。

二、Token身份验证的工作原理

Token身份验证的流程一般包括以下几个步骤：

1. 用户认证：用户输入用户名和密码进行登录。
2. 生成Token：服务器验证用户的凭据，如果正确，则生成一个Token（通常包含用户ID、过期时间及一些加密信息）并返回给用户。
3. 存储Token：用户客户端（如浏览器）存储该Token，通常存储在LocalStorage或Cookies中。
4. 发送请求：在后续的API请求中，用户将Token添加到请求头中，以证明身份。
5. 验证Token：服务器接收请求时，解析Token，验证其有效性（如是否过期、是否被篡改等），如果有效，则执行相应的操作。

三、PHP中的Token认证实现

在PHP中实现Token认证主要分为几个关键步骤。我们将通过示例代码来说明如何实现这一过程。

1. 用户登录和Token生成

首先，用户需要提交其凭据进行身份验证。如果成功，服务端会生成一个Token并返回给用户。

```php // 登录逻辑 function login($username, $password) { // 假设已连接数据库并验证用户的凭据 $user = authenticateUser($username, $password); if ($user) { // 生成Token（可使用JWT或自定义的Token） $token = generateToken($user['id']); return ['token' => $token]; } return ['error' => 'Invalid credentials']; } // 生成Token的示例 function generateToken($userId) { $secretKey = 'your-very-secure-secret'; $issuedAt = time(); $expirationTime = $issuedAt 3600; // Token有效期1小时 $payload = [ 'iat' => $issuedAt, 'exp' => $expirationTime, 'sub' => $userId, ]; return jwt_encode($payload, $secretKey); // 使用JWT加密Token } ```

2. API请求中验证Token

当用户发出请求时，我们需要对其Token进行解析和验证。

```php // 验证Token的函数 function validateToken($token) { $secretKey = 'your-very-secure-secret'; try { $decoded = jwt_decode($token, $secretKey, ['HS256']); // 解析Token return $decoded; // 返回解码的信息 } catch (Exception $e) { return false; // Token无效 } } // 在API中检查请求的Token function someProtectedAPI() { $token = $_SERVER['HTTP_AUTHORIZATION'] ?? null; // 从请求头获取Token if ($token