当前位置：首页 > article >正文

swoole方案统一鉴权与鉴权代理中心

article 2026/3/24 1:53:07

?php/** * 鉴权代理网关 * * 大白话流程 * 请求进来 → 验JWT → 通过了 → 转发给PHP-FPM后端 * → 不通过 → 直接拒绝后端根本看不到这个请求 * * 为什么这么做 * PHP-FPM 每个请求都要启动框架、连数据库验token很慢 * Swoole 常驻内存JWT验证是纯计算不需要查数据库极快 * 把鉴权前置非法请求在门口就挡掉FPM只处理合法请求 * * 依赖 * composer require firebase/php-jwt * * 运行 * php8.4 auth.php */require__DIR__./vendor/autoload.php;useFirebase\JWT\JWT;useFirebase\JWT\Key;useFirebase\JWT\ExpiredException;useFirebase\JWT\SignatureInvalidException;useSwoole\Http\Server;useSwoole\Http\Request;useSwoole\Http\Response;useSwoole\Coroutine\Http\Client;// JWT 签名密钥生产环境换成长随机字符串或RSA公钥constJWT_SECRETyour-secret-key-change-this;// 不需要鉴权的白名单路径constWHITE_LIST[/login,/register,/healthz];// 后端 PHP-FPM 地址通常是 nginxfpm或直接 fpm 的 fastcgi 端口// 这里用 HTTP 方式转发假设后端是个普通 HTTP 服务constBACKEND_HOST127.0.0.1;constBACKEND_PORT8080;$servernewServer(0.0.0.0,9300);$server-set([worker_numswoole_cpu_num(),enable_coroutinetrue,]);$server-on(request,function(Request$req,Response$res){$path$req-server[request_uri];// ── 白名单直接放行不验token ──────────────────────────if(in_array($path,WHITE_LIST,true)){forward($req,$res,null);return;}// ── 从 Header 里拿 token ──────────────────────────────────// 标准格式Authorization: Bearer eyJhbGci...$authHeader$req-header[authorization]??;if(!str_starts_with($authHeader,Bearer )){deny($res,401,missing token);return;}$tokensubstr($authHeader,7);// ── 验证 JWT ──────────────────────────────────────────────// JWT 是三段 base64头.载荷.签名// 验签名用密钥重新算一遍和第三段对比不一样就是伪造的// 验过期载荷里有 exp 字段和当前时间比// 这两步都是纯计算不查数据库微秒级try{$payloadJWT::decode($token,newKey(JWT_SECRET,HS256));}catch(ExpiredException$e){deny($res,401,token expired);return;}catch(SignatureInvalidException$e){deny($res,401,invalid token);return;}catch(\Throwable$e){deny($res,401,bad token);return;}// ── 验通过把用户信息透传给后端 ─────────────────────────// 后端直接从 Header 读不用再验一遍forward($req,$res,$payload);});// 转发请求到后端functionforward(Request$req,Response$res,?object$payload):void{$cnewClient(BACKEND_HOST,BACKEND_PORT);$c-set([timeout10]);$headers$req-header??[];// 把解析出来的用户信息塞进 Header后端直接用if($payload){$headers[x-user-id](string)($payload-sub??);$headers[x-user-role](string)($payload-role??);$headers[x-user-name](string)($payload-name??);}// 防止后端被伪造删掉原始 Authorization换成内网信任标记unset($headers[authorization]);$headers[x-auth-verified]1;$c-setHeaders($headers);$c-setMethod($req-server[request_method]);$body$req-rawContent();if($body!$body!false){$c-setData($body);}$qs$req-server[query_string]??;$uri$req-server[request_uri].($qs!??$qs:);$c-execute($uri);if($c-statusCode0){$res-status(502);$res-end(json_encode([errorbackend unavailable]));$c-close();return;}$res-status($c-statusCode);foreach($c-headers??[]as$k$v){$res-header($k,$v);}$res-end($c-body);$c-close();}// 拒绝请求functiondeny(Response$res,int$code,string$msg):void{$res-status($code);$res-header(Content-Type,application/json);$res-end(json_encode([error$msg]));}$server-on(workerStart,function($s,$wid){if($wid0)echoAuth Gateway → http://0.0.0.0:9300\n;});$server-start();装依赖跑起来cd/mnt/d/auth composerrequirefirebase/php-jwt php8.4auth.php 测试没有token被拒 curl http://localhost:9300/api/user生成一个测试token验证通过 php8.4-r require vendor/autoload.php; echo \Firebase\JWT\JWT::encode( [sub123,roleadmin,name张三,exptime()3600], your-secret-key-change-this, HS256 ); 把输出的token带上请求 curl-HAuthorization: Bearer 上面的tokenhttp://localhost:9300/api/user---大白话解释JWT是什么三段 base64 拼起来的字符串头.载荷.签名-头说明用什么算法-载荷用户信息比如用户ID、角色、过期时间明文的任何人都能解开看-签名用密钥把前两段算一遍防止有人篡改载荷验证时只需重新算一遍签名对比不查数据库纯计算极快。为什么删掉 Authorization 换成 x-auth-verified 后端服务在内网如果直接透传 Authorization后端还要再验一遍浪费。换成 x-auth-verified:1加上解析好的用户信息后端直接读x-user-id 就行信任网关已经验过了。白名单/login/register 不需要token直接放行转发给后端。

swoole方案统一鉴权与鉴权代理中心

相关文章：

swoole方案统一鉴权与鉴权代理中心

别再让PID调参折磨你了：手把手教你用积分分离和变速积分搞定电机定位不准

关于岩溶隧道突水渗流及围岩损伤的流固耦合行为分析的全面探讨（500M参考资源的岩土建模技术与方法）

无需代码基础！LiuJuan20260223Zimage开箱即用：WebUI一键生成创意图片

基于大语言模型的交易策略感知型电价预测方法研究

PADS Logic格点设置优化指南：提升设计效率与美观性

Git贡献全流程：从入门到进阶

SAS程序员必看：ADaM数据集里这8个函数，能帮你省下一半调试时间

效率对比实测：OpenClaw+GLM-4.7-Flash与传统RPA工具任务完成速度

PP-DocLayoutV3行业落地：法律合同要素定位、医疗报告结构识别实战解析

比迪丽SDXL效果展示：多语言提示词支持（中/英/日）实测报告

COMSOL仿真模型下的石墨烯与钙钛矿太阳能电池光电耦合模型研究

告别手动录入！用WfForm API实现泛微E9明细表数据自动填充（附完整JS代码）

老旧Intel Mac系统焕新指南：用OpenCore Legacy Patcher实现设备重生

AI 写代码快得飞起，但怎么让生成的项目能改、能维护、不崩？

VITS凭什么能“以假乱真”？拆解其背后让语音更自然的三个设计巧思

CosyVoice数据库应用实战：结合MySQL存储与管理海量语音资产

Wan2.1 VAE爬虫数据增强实战：将爬取的图像数据转化为统一艺术风格

Deepsort跟踪器在车辆检测中的表现如何？我用MOT16数据集做了这些实验

Jupyter Notebook新手必看：5分钟搞定环境配置与常见问题解决

从零开始C语言调用MiniCPM-V-2_6：轻量级本地推理引擎开发

别再死记硬背了！用Python代码和动画图解帮你彻底搞懂DFA/NFA（附Jupyter Notebook）

python学习笔记--集和的内置方法

深刻思考Python 装饰器——不输Java Aop的切面编程利器

TinyPICO Helper库：嵌入式胶水层设计与低功耗实践

树莓派5实战：NCNN部署YOLOv8n实现实时视频目标检测

智能助盲新方案：CYBER-VISION零号协议实战案例分享

VideoAgentTrek-ScreenFilter惊艳时刻：复杂游戏界面UI元素的精准识别与艺术化处理

买UPS 电源别懵！分类全解析看懂这几种，姐姐带你避坑！必看

数据治理-Doris-别名函数和存储过程