在PHP中，令牌認證是一種常用的身份驗證方式，它允許我們在保護表單或API接口的時候，防止跨站點請求偽造（CSRF）攻擊。通俗來說，令牌就是一個特殊的字符串，它表示用戶的身份或訪問權限，服務器可以在每個請求上驗證這個令牌，確認請求的合法性。

為了更好地理解令牌認證的機制，我們來舉一個例子。假設我們有一個電商網站，用戶可以在該網站上進行商品購買，為了保證安全，我們需要對用戶的支付操作進行身份認證。在這個場景下，令牌就是一個唯一的標識，它表示用戶當前所屬的會話，并且只有在驗證成功的時候才能進行支付請求。

<?php
session_start();
if ($_SESSION["token"] != $_POST["token"]) {
die("Invalid Token");
}
// 進行支付請求操作
?>

代碼中，我們通過比對會話中的令牌和POST參數中的令牌，判斷請求的合法性。如果兩者不一致，那么認為是無效的請求，直接返回錯誤信息。由于生成令牌的算法比較復雜，攻擊者難以通過猜測或復制的方式偽造出合法的令牌。

除了通過會話跟蹤的方式實現令牌認證之外，我們還可以使用一些PHP框架提供的安全機制，比如Laravel中的CSRF保護中間件。這個中間件會自動生成令牌，并且在每個表單提交或API請求中都要求附帶這個令牌。在服務器端，中間件會對這個令牌進行驗證，并且生成新的令牌代替舊的令牌，防止重復使用。

<form method="post" action="/checkout">
<input type="hidden" name="_token" value="{{ csrf_token() }}">
<input type="text" name="name" placeholder="Your Name">
<input type="text" name="email" placeholder="Your Email">
<input type="submit" value="Pay Now">
</form>

以上代碼示例，我們利用Laravel的CSRF保護中間件，在表單中插入了一個隱藏的input元素，用來攜帶令牌信息。在服務器端處理請求時，先進行令牌驗證，確保請求的合法性，并且在每次請求完成之后，自動生成新的令牌，提高安全性。

總的來說，令牌認證是一種非常有效的身份驗證機制，它能夠保護我們的應用程序免受來自惡意攻擊者的攻擊。在實際開發中，我們可以通過手動方式，或是使用一些成熟的PHP框架提供的保護機制，來實現令牌認證。