发布日期:2023年10月 | 作者:全栈开发者 | 阅读时间:15分钟
一、项目概述与设计思路
在现代Web开发中,前后端分离架构已成为主流。本文将基于ThinkPHP 6.0框架,构建一个完整的RESTful API系统,重点实现JWT(JSON Web Token)身份验证机制。与传统的Session验证不同,JWT更适合分布式系统和移动端应用。
技术栈选型
- 核心框架:ThinkPHP 6.0.12
- JWT组件:firebase/php-jwt 6.0+
- 数据库:MySQL 8.0 + Redis 7.0
- API文档:OpenAPI 3.0规范
系统架构设计
客户端 → 路由层 → 中间件层(JWT验证) → 控制器层 → 服务层 → 模型层 → 数据库二、环境配置与项目初始化
1. 创建ThinkPHP项目
composer create-project topthink/think tp6-api
cd tp6-api
composer require firebase/php-jwt2. 数据库配置
修改config/database.php配置文件:
return [
'default' => 'mysql',
'connections' => [
'mysql' => [
'type' => 'mysql',
'hostname' => '127.0.0.1',
'database' => 'api_demo',
'username' => 'root',
'password' => '',
'charset' => 'utf8mb4',
'prefix' => 'api_',
]
]
];3. 创建用户表
CREATE TABLE `api_users` (
`id` int(11) UNSIGNED NOT NULL AUTO_INCREMENT,
`username` varchar(50) NOT NULL COMMENT '用户名',
`password_hash` varchar(255) NOT NULL COMMENT '密码哈希',
`email` varchar(100) DEFAULT NULL COMMENT '邮箱',
`mobile` varchar(20) DEFAULT NULL COMMENT '手机号',
`status` tinyint(1) DEFAULT '1' COMMENT '状态:1正常 0禁用',
`last_login_time` int(11) DEFAULT NULL COMMENT '最后登录时间',
`create_time` int(11) DEFAULT NULL COMMENT '创建时间',
`update_time` int(11) DEFAULT NULL COMMENT '更新时间',
PRIMARY KEY (`id`),
UNIQUE KEY `username` (`username`),
KEY `email` (`email`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;三、JWT身份验证模块实现
1. 创建JWT服务类
在app/common/service/JwtService.php中创建:
<?php
namespace appcommonservice;
use FirebaseJWTJWT;
use FirebaseJWTKey;
use thinkfacadeConfig;
class JwtService
{
private static $secretKey;
private static $algorithm = 'HS256';
// 初始化配置
private static function init()
{
if (!self::$secretKey) {
self::$secretKey = Config::get('jwt.secret_key', 'your-secret-key-change-this');
}
}
// 生成Token
public static function generateToken($userId, $username, $expire = 7200)
{
self::init();
$payload = [
'iss' => 'tp6-api-server', // 签发者
'aud' => 'api-client', // 接收方
'iat' => time(), // 签发时间
'exp' => time() + $expire, // 过期时间
'data' => [
'user_id' => $userId,
'username' => $username
]
];
return JWT::encode($payload, self::$secretKey, self::$algorithm);
}
// 验证Token
public static function validateToken($token)
{
self::init();
try {
$decoded = JWT::decode($token, new Key(self::$secretKey, self::$algorithm));
return (array)$decoded->data;
} catch (Exception $e) {
return false;
}
}
// 刷新Token
public static function refreshToken($token, $expire = 7200)
{
$data = self::validateToken($token);
if (!$data) {
return false;
}
return self::generateToken($data['user_id'], $data['username'], $expire);
}
}2. 配置JWT参数
创建config/jwt.php配置文件:
<?php
return [
'secret_key' => env('jwt.secret_key', 'your-256-bit-secret-key-here'),
'algorithm' => 'HS256',
'expire_time' => 7200, // 2小时
'refresh_time' => 86400, // 24小时
];四、API分层架构设计
1. 创建用户模型
<?php
namespace appmodel;
use thinkModel;
use thinkmodelconcernSoftDelete;
class User extends Model
{
use SoftDelete;
protected $table = 'api_users';
protected $pk = 'id';
// 自动时间戳
protected $autoWriteTimestamp = true;
protected $createTime = 'create_time';
protected $updateTime = 'update_time';
protected $deleteTime = 'delete_time';
// 密码加密
public function setPasswordAttr($value)
{
return password_hash($value, PASSWORD_DEFAULT);
}
// 验证密码
public function verifyPassword($password)
{
return password_verify($password, $this->password_hash);
}
}2. 创建用户服务层
<?php
namespace appservice;
use appmodelUser;
use appcommonserviceJwtService;
use thinkexceptionValidateException;
class UserService
{
// 用户注册
public function register($data)
{
// 验证数据
$validate = new appvalidateUser();
if (!$validate->scene('register')->check($data)) {
throw new ValidateException($validate->getError());
}
// 检查用户名是否已存在
if (User::where('username', $data['username'])->find()) {
throw new ValidateException('用户名已存在');
}
// 创建用户
$user = new User();
$user->save([
'username' => $data['username'],
'password_hash' => password_hash($data['password'], PASSWORD_DEFAULT),
'email' => $data['email'] ?? '',
'mobile' => $data['mobile'] ?? ''
]);
return $user->id;
}
// 用户登录
public function login($username, $password)
{
$user = User::where('username', $username)
->where('status', 1)
->find();
if (!$user || !$user->verifyPassword($password)) {
throw new ValidateException('用户名或密码错误');
}
// 更新最后登录时间
$user->save(['last_login_time' => time()]);
// 生成JWT Token
return JwtService::generateToken($user->id, $user->username);
}
}3. 创建API控制器
<?php
namespace appcontrollerapi;
use appBaseController;
use appserviceUserService;
use thinkfacadeRequest;
class AuthController extends BaseController
{
protected $userService;
protected function initialize()
{
parent::initialize();
$this->userService = new UserService();
}
// 用户注册接口
public function register()
{
$data = Request::only(['username', 'password', 'email', 'mobile']);
try {
$userId = $this->userService->register($data);
return json([
'code' => 200,
'message' => '注册成功',
'data' => ['user_id' => $userId]
]);
} catch (Exception $e) {
return json([
'code' => 400,
'message' => $e->getMessage()
], 400);
}
}
// 用户登录接口
public function login()
{
$data = Request::only(['username', 'password']);
try {
$token = $this->userService->login($data['username'], $data['password']);
return json([
'code' => 200,
'message' => '登录成功',
'data' => [
'token' => $token,
'expire' => 7200
]
]);
} catch (Exception $e) {
return json([
'code' => 401,
'message' => $e->getMessage()
], 401);
}
}
}五、自定义中间件开发
1. 创建JWT验证中间件
<?php
namespace appmiddleware;
use appcommonserviceJwtService;
use thinkResponse;
class JwtAuth
{
public function handle($request, Closure $next)
{
// 获取Token
$token = $request->header('Authorization');
if (!$token) {
return $this->unauthorized('缺少身份验证Token');
}
// 去除Bearer前缀
if (strpos($token, 'Bearer ') === 0) {
$token = substr($token, 7);
}
// 验证Token
$userData = JwtService::validateToken($token);
if (!$userData) {
return $this->unauthorized('Token无效或已过期');
}
// 将用户信息注入请求
$request->user = $userData;
return $next($request);
}
private function unauthorized($message)
{
return Response::create([
'code' => 401,
'message' => $message
], 'json', 401);
}
}2. 注册中间件
在app/middleware.php中注册:
return [
// 全局中间件
appmiddlewareAllowCrossDomain::class,
// 路由中间件别名
'jwt.auth' => appmiddlewareJwtAuth::class,
];3. 路由配置
<?php
use thinkfacadeRoute;
// 公开路由(无需认证)
Route::group('api', function () {
Route::post('register', 'api/AuthController/register');
Route::post('login', 'api/AuthController/login');
});
// 受保护路由(需要JWT认证)
Route::group('api', function () {
Route::get('user/profile', 'api/UserController/profile');
Route::put('user/update', 'api/UserController/update');
})->middleware('jwt.auth');六、统一异常处理机制
1. 自定义异常类
<?php
namespace appexception;
use thinkException;
class ApiException extends Exception
{
protected $code = 400;
protected $message = 'API异常';
protected $data = [];
public function __construct($message = "", $code = 0, $data = [])
{
parent::__construct($message, $code);
$this->data = $data;
}
public function getData()
{
return $this->data;
}
}
// 业务异常类
class BusinessException extends ApiException
{
protected $code = 400;
protected $message = '业务异常';
}2. 异常处理器
<?php
namespace app;
use thinkexceptionHandle;
use thinkResponse;
use appexceptionApiException;
use Throwable;
class ExceptionHandle extends Handle
{
public function render($request, Throwable $e): Response
{
// API异常处理
if ($e instanceof ApiException) {
return json([
'code' => $e->getCode(),
'message' => $e->getMessage(),
'data' => $e->getData(),
'timestamp' => time()
]);
}
// 验证异常
if ($e instanceof thinkexceptionValidateException) {
return json([
'code' => 422,
'message' => $e->getError(),
'timestamp' => time()
], 422);
}
// 其他异常(生产环境隐藏详细错误)
if (!env('app_debug')) {
return json([
'code' => 500,
'message' => '服务器内部错误',
'timestamp' => time()
], 500);
}
return parent::render($request, $e);
}
}七、接口测试与性能优化
1. 使用Postman测试接口
注册接口测试:
- URL:POST http://localhost:8000/api/register
- Body(JSON):
{"username":"testuser","password":"Test123!","email":"test@example.com"}
登录接口测试:
- URL:POST http://localhost:8000/api/login
- Body(JSON):
{"username":"testuser","password":"Test123!"}
2. 性能优化建议
- Redis缓存Token:将有效的Token存储在Redis中,实现快速验证和黑名单功能
- 数据库连接池:使用Swoole等扩展实现连接池,减少连接开销
- API限流:使用中间件实现接口访问频率限制
- SQL优化:为频繁查询的字段添加索引,避免N+1查询问题
- 响应压缩:启用Gzip压缩减少网络传输量
3. 安全加固措施
- 使用HTTPS加密传输
- 实现Token刷新机制
- 添加登录失败次数限制
- 敏感操作二次验证
- 定期更换JWT密钥
总结
本文详细介绍了基于ThinkPHP 6.0构建高性能API接口系统的完整流程。通过JWT身份验证、分层架构设计、自定义中间件和统一异常处理等技术的综合应用,我们构建了一个安全、高效、可维护的API系统。
关键要点总结:
- JWT提供了无状态的身份验证方案,适合分布式系统
- 合理的分层架构(控制器-服务-模型)提高了代码的可维护性
- 中间件机制实现了横切关注点的分离
- 统一异常处理提升了API的健壮性和用户体验
- 性能优化和安全加固是生产环境部署的必要步骤
此方案可扩展为微服务架构,通过API网关统一管理多个服务。在实际项目中,还需要考虑日志记录、监控告警、自动化测试等更多工程实践。
