Sanctum 不生成 JWT，而是用加密字符串作 API 令牌，依赖会话或 Bearer Token 验证；Auth::user() 在 API 路由返回 null 主因是未启用 session 中间件或未正确配置 stateful 域名及 Cookie 传递。

Sanctum 不生成长期有效的 API 令牌，它依赖于「会话 + Tokenable 模型」的组合实现无状态请求验证；直接调用 createToken() 得到的是加密字符串（不是 JWT），且默认只在当前设备/浏览器有效。

为什么 Auth::user() 在 API 路由里返回 null？

这是最常见的误用起点：Sanctum 的默认行为不自动启用 session 中间件，而 auth:sanctum 中间件只负责从 Authorization: Bearer {token} 或 Cookie 中提取并验证 token —— 但若你没配对使用 stateful 域名或没发带 Cookie 的请求，它就退化为纯 token 验证，此时必须确保请求头含有效 token。

• 检查 config/sanctum.php 中的 stateful 是否包含你的前端域名（如 ['localhost:5173']）
• 确保前端发起请求时携带了 Cookie（credentials: 'include'），否则无法复用 session
• 非 stateful 场景下，必须手动在请求头中传入 Authorization: Bearer {token}
• sanctum 中间件不会自动登录用户，它只设置 Auth::guard('sanctum')->user()；别混用 auth:api 或自定义 guard

createToken() 返回的 token 怎么用？

这个方法返回的是 Sanctum\PersonalAccessToken 实例，其 plainTextToken 属性才是你要传给前端的明文 token。它本质是服务端生成的随机字符串，存于 personal_access_tokens 表，不加密 payload，也不过期（除非手动 revoke）。

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

public function login(Request $request)
{
    $credentials = $request->only('email', 'password');
    if (Auth::attempt($credentials)) {
        $user = Auth::user();
        // 注意：$token 是 PersonalAccessToken 实例，不是字符串
        $token = $user->createToken('api-token');
        return response()->json([
            'token' => $token->plainTextToken, // ← 必须取这个
            'user' => $user
        ]);
    }
    return response()->json(['error' => 'Unauthorized'], 401);
}

• 不要把整个 $token 对象 JSON 化返回，它含敏感字段（如 token 字段是哈希值）
• createToken() 第二个参数可传数组定义 abilities，如 ['read', 'write:posts']，后续可用 $user->tokenCan('write:posts') 校验
• 该 token 仅用于 API 请求（auth:sanctum），不能用于登录网页（不触发 session）

如何验证请求是否拥有某权限（abilities）？

Sanctum 的 abilities 是白名单机制，不是 role-based，每次验证都查数据库里的 abilities 字段。它不缓存、不解析 JWT claim，所以性能开销略高于纯 header 解析，但更可控。

// 在控制器中
if (! $request->user()->tokenCan('delete:comments')) {
    abort(403);
}

// 或在中间件里
if (! $request->user()->currentAccessToken()->can('edit:post')) {
    abort(403);
}

• abilities 区分大小写，且必须完全匹配（'read' ≠ 'Read'）
• tokenCan() 只对通过 auth:sanctum 认证的用户生效；未认证时 $request->user() 为 null，会报错
• 如果用了 withCookie 或 stateful 模式，$request->user()->currentAccessToken() 可能为 null（因为走的是 session，不是 token）

真正容易被忽略的是：Sanctum 的 token 和 session 是两条路径。你得明确当前请求走哪条——是单页应用用 Bearer token 调 API，还是混合模式下部分接口靠 Cookie 自动鉴权。混用却不校验来源，就会出现 Auth::user() 有时有、有时空的情况。

# php  # word  # laravel  # js  # 前端  # json  # cookie  # cad  # 浏览器  # access  # session  # ai  # 中间件  # NULL  # include 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Android okhttputils现在进度显示实例代码  Laravel如何使用Eloquent进行子查询  Win11怎么更改系统语言为中文_Windows11安装语言包并设为显示语言  Laravel怎么在Blade中安全地输出原始HTML内容  如何确认建站备案号应放置的具体位置？  php中::能调用final静态方法吗_final修饰静态方法调用规则【解答】  如何在云服务器上快速搭建个人网站？  如何制作一个表白网站视频,关于勇敢表白的小标题？  Laravel如何处理表单验证？（Requests代码示例）  如何用花生壳三步快速搭建专属网站？  javascript读取文本节点方法小结  国美网站制作流程,国美电器蒸汽鍋怎么用官方网站？  如何快速搭建高效WAP手机网站？  详解阿里云nginx服务器多站点的配置  Laravel项目如何进行性能优化_Laravel应用性能分析与优化技巧大全  焦点电影公司作品,电影焦点结局是什么？  微信小程序 require机制详解及实例代码  大连 网站制作,大连天途有线官网？  北京的网站制作公司有哪些,哪个视频网站最好？  如何用PHP工具快速搭建高效网站？  Laravel如何使用API Resources格式化JSON响应_Laravel数据资源封装与格式化输出  文字头像制作网站推荐软件,醒图能自动配文字吗？  Laravel怎么生成二维码图片_Laravel集成Simple-QrCode扩展包与参数设置【实战】  Python函数文档自动校验_规范解析【教程】  齐河建站公司：营销型网站建设与SEO优化双核驱动策略  网站建设整体流程解析，建站其实很容易！  网站建设要注意的标准 促进网站用户好感度！  如何在万网自助建站平台快速创建网站？  Laravel如何使用Gate和Policy进行授权？（权限控制）  Laravel控制器是什么_Laravel MVC架构中Controller的作用与实践  移动端手机网站制作软件,掌上时代，移动端网站的谷歌SEO该如何做？  Python文本处理实践_日志清洗解析【指导】  详解jQuery中基本的动画方法  IOS倒计时设置UIButton标题title的抖动问题  如何在云主机上快速搭建多站点网站？  Laravel如何生成和使用数据填充？（Seeder和Factory示例）  Laravel用户认证怎么做_Laravel Breeze脚手架快速实现登录注册功能  手机网站制作与建设方案,手机网站如何建设？  JavaScript中如何操作剪贴板_ClipboardAPI怎么用  Laravel如何为API编写文档_Laravel API文档生成与维护方法  怎么制作网站设计模板图片,有电商商品详情页面的免费模板素材网站推荐吗？  Python文件操作最佳实践_稳定性说明【指导】  图册素材网站设计制作软件,图册的导出方式有几种？  如何快速生成可下载的建站源码工具？  如何用腾讯建站主机快速创建免费网站？  济南网站建设制作公司,室内设计网站一般都有哪些功能？  QQ浏览器网页版登录入口 个人中心在线进入  常州企业网站制作公司,全国继续教育网怎么登录？  广州网站制作公司哪家好一点,广州欧莱雅百库网络科技有限公司官网？  奇安信“盘古石”团队突破 iOS 26.1 提权