php 8 中 authorization 请求头无法获取的解决方案:php 8 默认不再支持 `apache_request_headers()` 在非 apache sapi 环境下(如 php cli、fpm 或 xampp 内置服务器)正确读取 `authorization` 头,导致 jwt 验证失败;需改用 `getallheaders()` 兼容实现或直接从 `$_server` 变量提取。
在 PHP 8(尤其是 XAMPP 默认使用 Apache + mod_php 时看似兼容,但实际在部分配置或更新后行为已变化)中,apache_request_headers() 函数存在显著限制:它仅在 Apache 模块模式(mod_php)下可靠工作,且对 Authorization 这类敏感头默认被 Apache 屏蔽,除非显式启用 RewriteRule 或 CGIPassAuth 配置。而 PHP 7 中部分旧版 Apache 配置可能默认放行,造成“PHP 7 正常、PHP 8 报错”的假象。
✅ 正确获取 Authorization 头的推荐方式
方案一:优先使用 getallheaders()(需确保可用)
// 替代 apache_request_headers() if (!function_exists('getallheaders')) { function getallheaders() { $headers = []; foreach ($_SERVER as $name => $value) { if (substr($name, 0, 5) === 'HTTP_') { $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value; } } // 特别处理 Authorization(因部分 SAPI 不映射为 HTTP_AUTHORIZATION) if (isset($_SERVER['HTTP_AUTHORIZATION'])) { $headers['Authorization'] = $_SERVER['HTTP_AUTHORIZATION']; } elseif (isset($_SERVER['REDIRECT_HTTP_AUTHORIZATION'])) { $headers['Authorization'] = $_SERVER['REDIRECT_HTTP_AUTHORIZATION']; } return $headers; } } $authHeader = getallheaders(); $jwt = null; if (isset($authHeader['Authorization']) && preg_match('/Bearers+(.*)$/i', $authHeader['Authorization'], $matches)) { $jwt = $matches[1]; } else { http_response_code(401); echo json_encode(['message' => 'access Token not found.']); exit; }方案二:直接从 $_SERVER 安全提取(更轻量、兼容性最强)
$jwt = null; // 尝试多种常见 SERVER 键名(Apache/FPM/Nginx 差异) $authKeys = ['HTTP_AUTHORIZATION', 'REDIRECT_HTTP_AUTHORIZATION', 'Authorization']; foreach ($authKeys as $key) { if (isset($_SERVER[$key]) && preg_match('/Bearers+(.*)$/i', $_SERVER[$key], $matches)) { $jwt = $matches[1]; break; } } if (!$jwt) { http_response_code(401); echo json_encode(['message' => 'Authorization header missing or malformed.']); exit; }⚠️ 注意事项与最佳实践
- 不要依赖 apache_request_headers():它在 PHP-FPM、CLI、nginx + PHP-FPM 等主流部署中不可靠,PHP 8 更严格。
- 验证 Bearer 格式:始终用正则 /Bearers+(.*)$/i 提取 token,避免空格/大小写问题。
- CORS 配置已正确:你已设置 Access-Control-Allow-Headers: … Authorization,这是必要前提,但不解决服务端读取问题。
- XAMPP 用户特别提醒:若使用 XAMPP 8.x(含 PHP 8),确认 Apache 是否启用 mod_rewrite,并在 .htaccess 或虚拟主机中添加:
RewriteEngine On RewriteCond %{HTTP:Authorization} ^(.*) RewriteRule .* - [e=HTTP_AUTHORIZATION:%1]否则 Authorization 头会被 Apache 直接丢弃。
✅ 最终 JWT 解析示例(整合后)
require "../vendor_big/autoload.php"; use FirebaseJWTJWT; header("Access-Control-Allow-Origin: *"); header("Content-Type: application/json; charset=UTF-8"); header("Access-Control-Allow-Methods: POST"); header("Access-Control-Max-Age: 3600"); header("Access-Control-Allow-Headers: Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With"); require $_SERVER['DOCUMENT_ROOT'].'/db.php'; $data = json_decode(file_get_contents("php://input"), true); // ✅ 安全提取 JWT $jwt = null; foreach (['HTTP_AUTHORIZATION', 'REDIRECT_HTTP_AUTHORIZATION', 'Authorization'] as $key) { if (isset($_SERVER[$key]) && preg_match('/Bearers+(.*)$/i', $_SERVER[$key], $matches)) { $jwt = $matches[1]; break; } } if (!$jwt) { http_response_code(401); echo json_encode(['message' => 'Unauthorized: No valid Bearer token provided.']); exit; } $secret_key = "bmR0di1zYWxlcy1hcHAtYWR0ZWNoLXJpc2hp"; try { $decoded = JWT::decode($jwt, $secret_key, ['HS256']); // ✅ JWT 验证成功,继续业务逻辑 echo json_encode(['status' => 'success', 'user_id' => $decoded->user_id]); } catch (Exception $e) { http_response_code(401); echo json_encode(['message' => 'Invalid or expired token.', 'error' => $e->getMessage()]); }通过以上方式,即可彻底解决 PHP 8 下 Authorization not found 的核心问题,确保 JWT 认证在现代 PHP 环境中稳定运行。