商城中有些接口不需要登陆也能访问，如购物车，那jwt方式接口验证怎么做

签名

不验证的接口，不就是开放给别人访问的吗，你可以把这些接口排除在jwt之外开放出来啊。

我是在控制器中 单独 使用

$this->middleware(['auth:api', 'forbidden_user'])->except(['index', 'show']);

是不是你误解jwt了，jwt解决不了接口安全，你需要的是接口签名，这样有签名才能访问接口。

@shijie1991 这样接口不就可以随意调用了么，一点限制也没有了

@Brad-Wen 不是不验证接口，比如商品列表，商品详情这种接口，我也想验证，但是用户还没登陆，我无法使用jwt方式进行验证

@Joker10000 你的要求不就是不限制，你要是想限制访问次数限流的话，直接使用接口限流的中间件不就可以了

@Joker10000 你的需求用签名就行了，不需要登陆，签名的作用就是验证请求是否是被允许的，其他需要验证用户的接口就用签名+用户token就可以了。题主的意思时，不需要验证用户token的接口怎么保证接口安全，不被允许的请求不予处理。

@tiansai 那可能是我理解的有误，我后端用jwt方式做的接口接口验证。 我可以这么理解么，接口安全验证一回事，jwt是属于授权登陆，是另一回事

@airy 接口安全验证用签名，登陆状态用jwt的token验证，是这样吧

@Joker10000 可以这么理解

@airy 好的，谢谢