laravel中实现api认证的首选方案是使用laravel sanctum，它轻量且适用于spa、移动应用及简单api令牌需求。1. 安装sanctum并发布配置文件和迁移表；2. 在user模型中引入hasapitokens trait；3. 使用auth:sanctum中间件保护api路由；4. 通过createtoken生成带能力的令牌并在客户端请求头中携带；5. 对spa可配置会话cookie认证方式。相比passport，sanctum更简洁，适合多数场景；而jwt、session认证和basic auth则适用于特定用例。

在Laravel中实现API认证，最常见也最推荐的方式是使用Laravel Sanctum。它能很好地处理单页面应用（SPA）、移动应用以及简单的API令牌认证需求，轻量且高效。如果你需要更复杂的OAuth2功能，比如允许第三方应用访问你的API，那么Laravel Passport会是你的选择。绝大多数情况下，Sanctum就能满足日常开发所需。

解决方案

要在Laravel中实现API认证，我们通常会选择Laravel Sanctum。它为SPA、移动应用和简单的API令牌提供了简洁的认证系统。

1. 安装与配置Sanctum 首先，把Sanctum请到你的项目里：

composer require laravel/sanctum

然后发布其配置文件和运行数据库迁移：

php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"
php artisan migrate

这会创建一张 personal_access_tokens 表，用来存储用户的API令牌。

2. 用户模型准备 在你的 App\Models\User 模型中，引入 HasApiTokens trait：

// app/Models/User.php
use Laravel\Sanctum\HasApiTokens;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable
{
    use HasApiTokens, Notifiable;

    // ... 其他模型内容
}

这个trait会为你的用户模型添加管理API令牌的方法。

3. API路由保护 在 routes/api.php 文件中，你可以使用 auth:sanctum 中间件来保护你的API路由：

// routes/api.php
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Route;

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});

Route::post('/logout', function (Request $request) {
    $request->user()->currentAccessToken()->delete();
    return response()->noContent();
})->middleware('auth:sanctum');

// 你的其他受保护API路由
Route::middleware('auth:sanctum')->group(function () {
    Route::get('/projects', function () {
        // ...
    });
    Route::post('/projects', function () {
        // ...
    });
});

任何访问 /user 或 /projects 路由的请求，都需要携带有效的Sanctum令牌或通过会话认证。

4. 令牌的生成与使用 对于移动应用或第三方API调用，你需要为用户生成API令牌。这通常在一个认证控制器中完成：

// 例如：app/Http/Controllers/Api/AuthController.php
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
use App\Models\User;
use Illuminate\Support\Facades\Hash;

class AuthController extends Controller
{
    public function login(Request $request)
    {
        $request->validate([
            'email' => 'required|email',
            'password' => 'required',
            'device_name' => 'required', // 例如：'iPhone 15 Pro'
        ]);

        $user = User::where('email', $request->email)->first();

        if (! $user || ! Hash::check($request->password, $user->password)) {
            return response()->json(['message' => '凭据不匹配'], 401);
        }

        // 创建令牌，可以指定能力（abilities）
        $token = $user->createToken($request->device_name, ['server:update', 'server:delete'])->plainTextToken;

        return response()->json(['token' => $token]);
    }

    public function revokeToken(Request $request)
    {
        // 撤销当前使用的令牌
        $request->user()->currentAccessToken()->delete();
        return response()->noContent();
    }

    public function revokeAllTokens(Request $request)
    {
        // 撤销用户所有令牌
        $request->user()->tokens()->delete();
        return response()->noContent();
    }
}

客户端在后续请求中，需要将这个令牌放在 Authorization 请求头的 Bearer 方案中： Authorization: Bearer YOUR_GENERATED_TOKEN

5. SPA认证 (可选但推荐) 如果你在构建SPA，Sanctum还能通过会话Cookie提供认证，而无需手动管理令牌。这需要一些额外的配置：

• 确保你的SPA和API运行在同一个顶级域名下（例如：app.example.com 和 api.example.com）。
• 在SPA中，使用Axios等HTTP客户端配置 withCredentials 为 true，并确保后端CORS配置允许你的SPA域名。
• 配置 sanctum.stateful 数组，将你的SPA域名添加到其中。
• 确保SPA在登录时，向Laravel后端发送POST请求到 /sanctum/csrf-cookie 路由，以获取CSRF令牌，然后进行登录。

Laravel API认证，为什么Sanctum是首选？

我个人觉得，对于绝大多数我们日常会遇到的API认证场景，Sanctum简直是为我们量身定制的。它最大的魅力在于它的简洁性和多功能性。你想想看，一个包就能同时搞定SPA的会话认证（就像传统的Web应用那样，用Cookie），又能搞定移动端或者第三方应用需要的API令牌认证，这多省事儿！

跟Passport比起来，Sanctum简直是轻量级的典范。Passport那套OAuth2的玩意儿，虽然强大，但它为的是解决更宏大的问题——比如你要让Google、Facebook这种第三方服务通过OAuth2协议来访问你的API。它涉及客户端管理、授权码、刷新令牌等一系列复杂流程，搭建起来就挺费劲的。而我们平时写个App后端，或者给Vue、React前端提供API，根本用不着那么重型的武器。Sanctum就是那个“小而美”的解决方案，它直接给你一个纯粹的API令牌管理能力，或者利用Laravel自带的Session机制，让SPA感觉就像在用传统的Web应用一样，省去了令牌存储、刷新等一系列前端的心智负担。

所以，除非你明确知道你的API需要支持OAuth2那种复杂的第三方授权流程，否则，直接上Sanctum，它能让你少掉很多头发。

如何在Laravel中安全地管理API令牌？

管理API令牌可不是生成一个扔给前端就完事儿了，这里面学问还挺多的，稍不留神就可能留下安全隐患。

1. 令牌的生命周期与能力 生成令牌时，考虑它的生命周期。如果是给一次性任务或者短期使用的，可以设置短一点的过期时间。Sanctum默认是不设过期时间的，但你可以通过在 config/sanctum.php 中设置 expiration 来控制。

更重要的是，利用Sanctum的“能力”（abilities）特性。你可以为每个令牌分配特定的权限，比如一个令牌只能读取数据，另一个才能写入。

$token = $user->createToken('admin-token', ['user:read', 'user:create', 'user:update', 'user:delete'])->plainTextToken;
// 另一个令牌可能只有读取权限
$readOnlyToken = $user->createToken('guest-token', ['user:read'])->plainTextToken;

然后在你的API路由或控制器中，通过 tokenCan 方法来检查：

if ($request->user()->tokenCan('user:create')) {
    // 允许创建用户
}

这比简单的“有权限”或“没权限”要精细得多。

2. 客户端令牌存储 前端拿到令牌后，怎么存是个大问题。

• Web端（SPA）: 尽量避免直接存在 localStorage 里，因为它容易受到XSS攻击。更安全的做法是使用 HttpOnly 的 Cookie。Sanctum在SPA模式下就是这么干的，它利用了Laravel的Session机制，并将Session ID存在HttpOnly Cookie中，前端无需直接操作令牌。
• 移动端: 存储在设备的安全存储区域，比如iOS的Keychain或Android的Keystore，而不是明文存在应用沙盒里。

3. 令牌的撤销机制 用户退出登录时，务必撤销当前使用的令牌。Sanctum提供了 currentAccessToken()->delete() 方法来撤销正在使用的令牌。如果用户设备丢失，或者怀疑令牌泄露，你应该提供一个接口让用户可以撤销所有已颁发的令牌（$user->tokens()->delete()）。这就像你手机丢了，可以在电脑上远程抹掉所有数据一样。

4. 令牌的安全性 Sanctum会将令牌的哈希值存储在数据库中，而不是明文。这是基本要求。确保你的数据库连接是安全的，并且数据库本身也受到保护。

5. 速率限制 对API接口进行速率限制（Rate Limiting）是防止暴力破解令牌的有效手段。Laravel自带的速率限制中间件非常好用，可以限制每个IP或每个用户在特定时间内的请求次数。

// routes/api.php
Route::middleware(['auth:sanctum', 'throttle:60,1'])->group(function () {
    Route::get('/user', function (Request $request) {
        return $request->user();
    });
});

这表示每分钟只能请求 /user 60次。

除了Sanctum，Laravel还有哪些API认证方案，各自适用场景是什么？

除了Sanctum，Laravel生态里还有几种常见的API认证方案，每种都有它最适合的场景。

1. Laravel Passport (OAuth2)

• 是什么？ Laravel官方提供的OAuth2服务器实现。它完全遵循OAuth2协议，可以让你轻松地为自己的API提供完整的OAuth2认证流程，包括授权码、隐式、客户端凭据和密码授权等多种模式。
• 适用场景： 当你的API需要被第三方应用访问时，Passport是首选。比如，你想构建一个开放平台，允许其他开发者注册他们的应用，并通过OAuth2协议来获取用户授权，进而访问你的API数据。它提供了客户端管理、作用域（scopes）定义等高级功能，适合构建大型、开放的API平台。如果你只是为自己的前端或移动应用提供API，Passport可能会显得过于复杂。

2. 基于Session的认证 (Web认证)

• 是什么？ 这是Laravel默认的Web认证方式，依赖于HTTP Session和Cookie。用户登录后，服务器会创建一个Session，并在Cookie中存储Session ID。后续请求带着这个Cookie，服务器就能识别用户。
• 适用场景： 主要用于传统的Web应用，即前后端不分离或弱分离的项目。当你用Blade模板渲染页面，或者Vue/React应用和Laravel后端在同一个域名下，且前端每次请求都带上Cookie时，这种方式是自然的。但对于纯粹的、无状态的API（尤其是跨域或移动应用），Session认证就不太合适了，因为API通常需要无状态，不依赖服务器Session。

3. Basic Auth (HTTP基本认证)

• 是什么？ 一种非常简单的HTTP认证方式，通过在HTTP请求头中发送用户名和密码的Base64编码字符串进行认证。
• 适用场景： 通常用于内部API、调试或低安全性要求的场景。它简单易实现，但因为每次请求都发送明文（虽然是Base64编码，但很容易解码）的用户名和密码，所以必须在HTTPS环境下使用，否则极不安全。不适合公开或高安全性的API。

4. 第三方JWT包 (如 tymondesigns/jwt-auth)

• 是什么？ JSON Web Token（JWT）是一种开放标准（RFC 7519），定义了一种紧凑且自包含的方式，用于在各方之间安全地传输信息作为JSON对象。Laravel本身没有内置JWT认证，但有非常流行的第三方包如 tymondesigns/jwt-auth。
• 适用场景： 在Sanctum出现之前，JWT在无状态API认证中非常流行。它适用于需要完全无状态的API，并且可能需要跨多个服务共享认证状态的场景。JWT令牌包含用户身份信息，并经过签名，服务器无需查询数据库即可验证令牌的有效性。然而，JWT的令牌撤销相对复杂（因为它是无状态的），通常需要额外的黑名单机制。Sanctum的API令牌模式在很多方面可以替代JWT，并且与Laravel的集成度更高。

选择哪种方案，最终还是要看你的项目需求和安全考量。Sanctum的出现，确实让大多数Laravel API认证变得简单而高效，但理解其他方案的特点，能帮助你在遇到特定场景时做出更明智的决策。

# vue  # laravel  # composer  # cad  # 电脑  # facebook  # access  # iphone  # ai  # 作用域  # php  # 中间件  # json  # xss  # csrf  # Cookie  # Session  # Token  # 字符串  # 接口  # delete  # 并发  # 对象  # 数据库  # android  # ios  # http  # https  # axios  # 开放平台  # 令牌  # 第三方  # 客户端  # 后端  # 就能  # 适用于  # 自己的  # 这是  # 如果你  # 让你 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 怎么制作网站设计模板图片,有电商商品详情页面的免费模板素材网站推荐吗？  lovemo网页版地址 lovemo官网手机登录  活动邀请函制作网站有哪些,活动邀请函文案？  Laravel如何实现本地化和多语言支持？（i18n教程）  香港服务器网站生成指南：免费资源整合与高速稳定配置方案  儿童网站界面设计图片,中国少年儿童教育网站-怎么去注册？  Laravel如何优雅地处理服务层_在Laravel中使用Service层和Repository层  如何用ChatGPT准备面试 模拟面试问答与职场话术练习教程  laravel怎么配置Redis作为缓存驱动_laravel Redis缓存配置教程  Laravel怎么进行数据库事务处理_Laravel DB Facade事务操作确保数据一致性  如何做网站制作流程,*游戏网站怎么搭建？  高配服务器限时抢购：企业级配置与回收服务一站式优惠方案  制作公司内部网站有哪些,内网如何建网站？  Java垃圾回收器的方法和原理总结  JavaScript如何实现继承_有哪些常用方法  Laravel Livewire是什么_使用Laravel Livewire构建动态前端界面  Laravel如何处理CORS跨域问题_Laravel项目CORS配置与解决方案  Laravel Seeder填充数据教程_Laravel模型工厂Factory使用  如何利用DOS批处理实现定时关机操作详解  绝密ChatGPT指令：手把手教你生成HR无法拒绝的求职信  如何批量查询域名的建站时间记录？  高性能网站服务器配置指南：安全稳定与高效建站核心方案  javascript和jQuery中的AJAX技术详解【包含AJAX各种跨域技术】  Windows驱动无法加载错误解决方法_驱动签名验证失败处理步骤  如何快速查询网址的建站时间与历史轨迹？  Laravel如何使用模型观察者？（Observer代码示例）  详解Oracle修改字段类型方法总结  JavaScript如何实现类型判断_typeof和instanceof有什么区别  WordPress 子目录安装中正确处理脚本路径的完整指南  手机怎么制作网站教程步骤,手机怎么做自己的网页链接？  如何快速搭建高效可靠的建站解决方案？  猪八戒网站制作视频,开发一个猪八戒网站，大约需要多少？或者自己请程序员，需要什么程序员，多少程序员能完成？  Chrome浏览器标签页分组怎么用_谷歌浏览器整理标签页技巧【效率】  个人网站制作流程图片大全,个人网站如何注销？  Laravel表单请求验证类怎么用_Laravel Form Request分离验证逻辑教程  如何在阿里云部署织梦网站？  济南网站建设制作公司,室内设计网站一般都有哪些功能？  JS实现鼠标移上去显示图片或微信二维码  HTML5段落标签p和br怎么选_文本排版常用标签对比【解答】  如何正确下载安装西数主机建站助手？  Laravel怎么上传文件_Laravel图片上传及存储配置  利用vue写todolist单页应用  如何快速上传自定义模板至建站之星？  Laravel如何使用Scope本地作用域_Laravel模型常用查询逻辑封装技巧【手册】  Laravel如何处理表单验证？（Requests代码示例）  制作旅游网站html,怎样注册旅游网站？  南京网站制作费用,南京远驱官方网站？  北京网站制作公司哪家好一点,北京租房网站有哪些？  千问怎样用提示词获取健康建议_千问健康类提示词注意事项【指南】  Laravel软删除怎么实现_Laravel Eloquent SoftDeletes功能使用教程