免费资源下载
发布日期:2023年10月 | 作者:全栈开发者 | 阅读时间:15分钟
一、项目背景与技术选型
在现代Web开发中,前后端分离架构已成为主流。本文将通过一个用户管理系统的API开发案例,展示如何使用ThinkPHP 6.0构建高性能、安全的RESTful API接口。与传统的Session验证不同,我们将采用JWT(JSON Web Token)作为身份验证机制,这种无状态的设计更适合分布式系统和移动端应用。
技术栈组成:
- 核心框架:ThinkPHP 6.0.12(支持PSR规范)
- 身份验证:firebase/php-jwt 6.4.0
- 数据库:MySQL 8.0 + ThinkPHP ORM
- API文档:ThinkPHP注解路由+ApiDoc生成
- 性能工具:Redis缓存+OPcache加速
二、环境配置与项目初始化
2.1 环境要求检查
// 检查PHP版本
php -v // 需≥7.2.5
// 检查Composer
composer --version
// 检查扩展
php -m | grep -E "openssl|mbstring|json"2.2 创建ThinkPHP项目
// 使用Composer创建项目
composer create-project topthink/think tp6-api-project
// 进入项目目录
cd tp6-api-project
// 安装JWT扩展包
composer require firebase/php-jwt2.3 数据库配置
修改config/database.php配置文件:
return [
'default' => 'mysql',
'connections' => [
'mysql' => [
'type' => 'mysql',
'hostname' => '127.0.0.1',
'database' => 'tp6_api',
'username' => 'root',
'password' => 'your_password',
'hostport' => '3306',
'charset' => 'utf8mb4',
'prefix' => 'api_',
'debug' => true,
]
]
];三、API架构设计与目录规划
3.1 目录结构优化
tp6-api-project/
├── app/
│ ├── controller/
│ │ ├── api/ # API控制器目录
│ │ │ ├── v1/ # 版本v1接口
│ │ │ └── v2/ # 版本v2接口(预留)
│ ├── middleware/ # 中间件
│ │ ├── JwtAuth.php # JWT验证中间件
│ │ └── ApiLog.php # API日志中间件
│ ├── service/ # 服务层
│ │ ├── JwtService.php
│ │ └── UserService.php
│ ├── validate/ # 验证器
│ │ └── UserValidate.php
│ └── common.php # 公共函数
├── config/
│ ├── jwt.php # JWT配置文件
│ └── api.php # API相关配置
└── runtime/api/logs/ # API日志目录3.2 创建配置文件
新建config/jwt.php配置文件:
return [
// JWT加密密钥(务必保密)
'secret' => env('jwt.secret', 'your-256-bit-secret-key-here'),
// 算法类型
'algo' => 'HS256',
// 令牌有效期(秒)
'access_exp' => 7200, // 2小时
'refresh_exp' => 604800, // 7天
// 签发者
'issuer' => 'tp6-api-server',
// 接收者
'audience' => 'api-client',
];四、JWT身份验证模块集成
4.1 创建JWT服务类
新建app/service/JwtService.php:
<?php
namespace appservice;
use thinkfacadeConfig;
use FirebaseJWTJWT;
use FirebaseJWTKey;
use thinkfacadeCache;
class JwtService
{
/**
* 生成访问令牌
* @param int $userId 用户ID
* @param array $payload 附加数据
* @return string
*/
public static function generateToken(int $userId, array $payload = []): string
{
$config = Config::get('jwt');
$time = time();
$tokenPayload = array_merge([
'iss' => $config['issuer'], // 签发者
'aud' => $config['audience'], // 接收者
'iat' => $time, // 签发时间
'nbf' => $time, // 生效时间
'exp' => $time + $config['access_exp'], // 过期时间
'sub' => $userId, // 主题(用户ID)
'jti' => md5(uniqid('JWT') . $time), // 令牌ID
'type' => 'access' // 令牌类型
], $payload);
return JWT::encode($tokenPayload, $config['secret'], $config['algo']);
}
/**
* 验证并解析令牌
* @param string $token
* @return array
* @throws Exception
*/
public static function verifyToken(string $token): array
{
try {
$config = Config::get('jwt');
$decoded = JWT::decode($token, new Key($config['secret'], $config['algo']));
// 转换为数组
$data = (array)$decoded;
// 检查令牌是否在黑名单中
if (Cache::has('jwt_blacklist:' . $data['jti'])) {
throw new Exception('令牌已失效');
}
return $data;
} catch (Exception $e) {
throw new Exception('令牌验证失败: ' . $e->getMessage());
}
}
/**
* 刷新令牌
* @param string $refreshToken
* @return array
*/
public static function refreshToken(string $refreshToken): array
{
$data = self::verifyToken($refreshToken);
if ($data['type'] !== 'refresh') {
throw new Exception('非刷新令牌');
}
// 将旧令牌加入黑名单(有效期剩余时间)
$remaining = $data['exp'] - time();
if ($remaining > 0) {
Cache::set('jwt_blacklist:' . $data['jti'], 1, $remaining);
}
// 生成新的访问令牌
$newAccessToken = self::generateToken($data['sub']);
return [
'access_token' => $newAccessToken,
'expires_in' => Config::get('jwt.access_exp')
];
}
}4.2 创建JWT验证中间件
新建app/middleware/JwtAuth.php:
<?php
namespace appmiddleware;
use appserviceJwtService;
use thinkfacadeRequest;
class JwtAuth
{
public function handle($request, Closure $next)
{
// 从请求头获取令牌
$token = Request::header('Authorization');
if (!$token) {
return json([
'code' => 401,
'msg' => '未提供身份令牌',
'data' => null
], 401);
}
// 去除Bearer前缀
if (strpos($token, 'Bearer ') === 0) {
$token = substr($token, 7);
}
try {
// 验证令牌
$payload = JwtService::verifyToken($token);
// 将用户信息存入请求对象
$request->user = [
'id' => $payload['sub'],
'payload' => $payload
];
return $next($request);
} catch (Exception $e) {
return json([
'code' => 401,
'msg' => $e->getMessage(),
'data' => null
], 401);
}
}
}五、RESTful API接口实现
5.1 用户模型设计
<?php
namespace appmodel;
use thinkModel;
class User extends Model
{
// 设置表名
protected $table = 'api_users';
// 自动时间戳
protected $autoWriteTimestamp = true;
// 字段自动完成
protected $insert = ['status' => 1];
// 密码自动加密
public function setPasswordAttr($value)
{
return password_hash($value, PASSWORD_DEFAULT);
}
// 验证密码
public function verifyPassword($password)
{
return password_verify($password, $this->password);
}
// 用户状态获取器
public function getStatusTextAttr($value, $data)
{
$status = [0 => '禁用', 1 => '正常', 2 => '未激活'];
return $status[$data['status']] ?? '未知';
}
}5.2 用户验证器
<?php
namespace appvalidate;
use thinkValidate;
class UserValidate extends Validate
{
protected $rule = [
'username' => 'require|min:3|max:20|unique:user',
'email' => 'require|email|unique:user',
'password' => 'require|min:6|max:20',
'mobile' => 'mobile|unique:user',
];
protected $message = [
'username.require' => '用户名不能为空',
'username.unique' => '用户名已存在',
'email.email' => '邮箱格式不正确',
'email.unique' => '邮箱已注册',
'password.min' => '密码长度不能少于6位',
'mobile.mobile' => '手机号格式不正确',
];
// 登录验证场景
public function sceneLogin()
{
return $this->only(['username', 'password'])
->remove('username', 'unique')
->remove('password', 'min');
}
}5.3 认证控制器实现
<?php
namespace appcontrollerapiv1;
use appBaseController;
use appmodelUser;
use appserviceJwtService;
use appvalidateUserValidate;
use thinkfacadeRequest;
class AuthController extends BaseController
{
/**
* 用户注册
* @return thinkresponseJson
*/
public function register()
{
// 验证参数
$data = Request::post();
$validate = new UserValidate();
if (!$validate->check($data)) {
return json([
'code' => 400,
'msg' => $validate->getError(),
'data' => null
], 400);
}
try {
// 创建用户
$user = User::create($data);
// 生成令牌
$token = JwtService::generateToken($user->id);
return json([
'code' => 200,
'msg' => '注册成功',
'data' => [
'user' => [
'id' => $user->id,
'username' => $user->username,
'email' => $user->email
],
'access_token' => $token,
'expires_in' => config('jwt.access_exp')
]
]);
} catch (Exception $e) {
return json([
'code' => 500,
'msg' => '注册失败: ' . $e->getMessage(),
'data' => null
], 500);
}
}
/**
* 用户登录
* @return thinkresponseJson
*/
public function login()
{
$data = Request::post();
$validate = new UserValidate();
// 使用登录场景验证
if (!$validate->scene('login')->check($data)) {
return json([
'code' => 400,
'msg' => $validate->getError(),
'data' => null
], 400);
}
// 查找用户
$user = User::where('username', $data['username'])
->whereOr('email', $data['username'])
->find();
if (!$user || !$user->verifyPassword($data['password'])) {
return json([
'code' => 401,
'msg' => '用户名或密码错误',
'data' => null
], 401);
}
if ($user->status != 1) {
return json([
'code' => 403,
'msg' => '账号已被禁用',
'data' => null
], 403);
}
// 更新最后登录时间
$user->last_login_time = time();
$user->last_login_ip = Request::ip();
$user->save();
// 生成令牌
$token = JwtService::generateToken($user->id);
return json([
'code' => 200,
'msg' => '登录成功',
'data' => [
'user' => [
'id' => $user->id,
'username' => $user->username,
'email' => $user->email
],
'access_token' => $token,
'expires_in' => config('jwt.access_exp')
]
]);
}
/**
* 获取当前用户信息
* @return thinkresponseJson
*/
public function profile()
{
$userId = Request::user['id'];
$user = User::field('id,username,email,mobile,create_time')
->find($userId);
return json([
'code' => 200,
'msg' => '获取成功',
'data' => $user
]);
}
/**
* 退出登录
* @return thinkresponseJson
*/
public function logout()
{
// 获取当前令牌(需要从请求中获取)
$token = Request::header('Authorization');
if (strpos($token, 'Bearer ') === 0) {
$token = substr($token, 7);
}
try {
$payload = JwtService::verifyToken($token);
// 将令牌加入黑名单
$remaining = $payload['exp'] - time();
if ($remaining > 0) {
cache('jwt_blacklist:' . $payload['jti'], 1, $remaining);
}
return json([
'code' => 200,
'msg' => '退出成功',
'data' => null
]);
} catch (Exception $e) {
return json([
'code' => 200,
'msg' => '退出成功',
'data' => null
]);
}
}
}5.4 路由配置
修改route/app.php:
<?php
use thinkfacadeRoute;
// API v1 路由组
Route::group('api/v1', function () {
// 认证相关路由(无需JWT验证)
Route::post('auth/register', 'api/v1.Auth/register');
Route::post('auth/login', 'api/v1.Auth/login');
// 需要JWT验证的路由组
Route::group(function () {
Route::get('auth/profile', 'api/v1.Auth/profile');
Route::post('auth/logout', 'api/v1.Auth/logout');
// 用户管理路由
Route::resource('users', 'api/v1.User');
// 其他业务路由...
})->middleware(appmiddlewareJwtAuth::class);
// 公开接口
Route::get('public/info', 'api/v1.Public/info');
})->allowCrossDomain();六、接口测试与性能优化
6.1 使用Postman测试接口
注册接口测试:
- URL:POST http://localhost/api/v1/auth/register
- Body(JSON):
{"username":"testuser","email":"test@example.com","password":"123456"} - 预期响应:包含access_token的用户信息
需要认证的接口测试:
- URL:GET http://localhost/api/v1/auth/profile
- Headers:
Authorization: Bearer {your_access_token}
6.2 性能优化建议
- 数据库优化:
// 使用索引优化查询 CREATE INDEX idx_user_login ON api_users(username, email); CREATE INDEX idx_user_status ON api_users(status); // ThinkPHP查询优化 User::field('id,username')->cache(300)->select(); - Redis缓存配置:
// config/cache.php return [ 'default' => 'redis', 'stores' => [ 'redis' => [ 'type' => 'redis', 'host' => '127.0.0.1', 'port' => 6379, 'password' => '', 'select' => 0, 'timeout' => 0, 'persistent' => false, 'prefix' => 'api:', ] ] ]; - API限流中间件:
// app/middleware/RateLimit.php class RateLimit { public function handle($request, Closure $next, $limit = 60, $period = 60) { $key = 'rate_limit:' . $request->ip() . ':' . $request->pathinfo(); $current = Cache::get($key, 0); if ($current >= $limit) { return json([ 'code' => 429, 'msg' => '请求过于频繁,请稍后再试', 'data' => null ], 429); } Cache::inc($key, 1, $period); return $next($request); } }
七、总结与扩展建议
7.1 技术要点总结
- 架构清晰:采用分层架构,分离控制器、服务层、模型层,提高代码可维护性
- 安全可靠:JWT令牌验证、密码哈希存储、SQL防注入、XSS过滤
- 性能优化:Redis缓存、数据库索引、OPcache加速、API限流
- 规范统一:RESTful API设计规范、统一响应格式、错误码标准化
7.2 扩展功能建议
- API版本管理:通过路由前缀或请求头实现多版本API共存
- 接口文档自动化:集成swagger-php或ThinkPHP注解生成API文档
- 微服务化改造:将用户服务、订单服务等拆分为独立微服务
- 监控与告警:集成Prometheus监控、ELK日志分析、钉钉/微信告警
- 容器化部署:使用Docker + Kubernetes实现自动化部署和弹性伸缩
7.3 生产环境注意事项
- JWT密钥必须使用强随机字符串,定期更换
- 启用HTTPS加密传输,防止令牌被截获
- 设置合理的令牌过期时间,平衡安全性与用户体验
- 实现令牌刷新机制,避免用户频繁登录
- 做好API接口的访问日志记录,便于审计和排查问题
通过本文的完整实现,您已经掌握了使用ThinkPHP 6.0构建企业级API接口的核心技术。这套方案不仅适用于用户管理系统,也可以作为其他业务系统的API基础架构。在实际项目中,可以根据具体需求进行扩展和优化,构建出更加强大、稳定的API服务。
