什么是JWT
JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token，这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519)，定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。
现在，许多项目模式基本都是前端分离和restful api模式。 因此，传统的session模式无法满足认证要求，这时就出现了jwt。 可以说，restful api模式对于jwt是一个很好的应用场景。

JWT的参数解释

名称解释iss (issuer)issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者sub (Subject)设置主题，类似于发邮件时的主题aud (audience)接收jwt的一方exp (expire)token过期时间nbf (not before)当前时间在nbf设定时间之前，该token无法使用iat (issued at)token创建时间jti (JWT ID)对当前token设置唯一标示

接下来我们来看一个例子

<?phprequire_once 'src/JWT.php';header('Content-type:application/json');//定义Keyconst KEY = 'dasjdkashdwqe1213dsfsn;p'; $user = [  'uid'=>'dadsa-12312-vsd1s1-fsds',  'account'=>'daisc',  'password'=>'123456'];$redis = redis();$action = $_GET['action'];switch ($action){  case 'login':    login();    break;  case 'info':    info();    break; }//登陆，写入验证tokenfunction login(){  global $user;  $account = $_GET['account'];  $pwd = $_GET['password'];  $res = [];  if($account==$user['account']&&$pwd==$user['password'])  {    unset($user['password']);    $time = time();    $token = [      'iss'=>'http://test.cc',//签发者      'iat'=>$time,      'exp'=>$time+60,      'data'=>$user    ];    $jwt = FirebaseJWTJWT::encode($token,KEY);    $res['code'] = 200;    $res['message'] = '登录成功';    $res['jwt'] = $jwt;   }  else  {    $res['message']= '用户名或密码错误';    $res['code'] = 401;  }  exit(json_encode($res));} function info(){  $jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;  $res['code'] = 200;  if($jwt)  {    $jwt = str_replace('Bearer ','',$jwt);    if(empty($jwt))    {      $res['code'] = 401;      $res['msg'] = 'You do not have permission to access.';      exit(json_encode($res));    }    try{      $token = (array) FirebaseJWTJWT::decode($jwt,KEY, ['HS256']);      if($token['exp']<time())      {        $res['code'] = 401;        $res['msg'] = '登录超时，请重新登录';      }      $res['data']= $token['data'];    }catch (Exception $E)    {      $res['code'] = 401;      $res['msg'] = '登录超时，请重新登录.';    }  }  else  {    $res['code'] = 401;    $res['msg'] = 'You do not have permission to access.';  }  exit(json_encode($res));} //连接redisfunction redis(){  $redis = new Redis();  $redis->connect('127.0.0.1');  return $redis;}

这个例子里面用jwt做了一个简单的认证。 其中用到了一个php-jwt的加密包，链接如下：
https://github.com/firebase/php-jwt 
其中KEY为定义的私钥也就是jwt里面的 sign部分，这个一定要保存好。
而header部分php-jwt包里面已经帮我们完成了，加密代码如下

public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null){  $header = array('typ' => 'JWT', 'alg' => $alg);  if ($keyId !== null) {    $header['kid'] = $keyId;  }  if ( isset($head) && is_array($head) ) {    $header = array_merge($head, $header);  }  $segments = array();  $segments[] = static::urlsafeB64Encode(static::jsonEncode($header));  $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));  $signing_input = implode('.', $segments);   $signature = static::sign($signing_input, $key, $alg);  $segments[] = static::urlsafeB64Encode($signature);   return implode('.', $segments);}

可以看出默认的加密的方式是HS256。这也是说jwt安全的原因。现阶段HS256加密还是很安全的。
这个包里面也支持证书加密。
加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串，下次前端在请求api的时候需要携带这个jwt字符串作为认证。
在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。

下面是poyload的一些常用配置

$token  = [#非必须。issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者。"iss"    => "http://example.org",#非必须。issued at。 token创建时间，unix时间戳格式"iat"    => $_SERVER['REQUEST_TIME'],#非必须。expire 指定token的生命周期。unix时间戳格式"exp"    => $_SERVER['REQUEST_TIME'] + 7200,#非必须。接收该JWT的一方。"aud"    => "http://example.com",#非必须。该JWT所面向的用户"sub"    => "jrocket@example.com",# 非必须。not before。如果当前时间在nbf里的时间之前，则Token不被接受；一般都会留一些余地，比如几分钟。"nbf"    => 1357000000,# 非必须。JWT ID。针对当前token的唯一标识"jti"    => '222we',# 自定义字段"GivenName" => "Jonny",# 自定义字段"name"  => "Rocket",# 自定义字段"Email"   => "jrocket@example.com",];

里面包含的配置可以自由配置，也可以自己添加一些其他的。这些都是网上大家常用的，可以说是一种约定吧。

注意事项
关于jwt的使用大概就是这些。上面的代码在你使用的时候可能会出现两个问题：
1、命名空间错误
解决：不使用命名空间的话，使用require引入文件。如果使用命名空间出现错误，请检查命名空间的路径。
2、生成的token是一个对象
解决：(string)$token 将token强转成string