Laravel Sanctum实现Token认证,通过安装配置、生成Token、前端携带Bearer Token请求、路由保护及注销删除Token完成安全验证。
在Laravel中实现与前端框架(如Vue、React、Angular等)的Token认证,通常使用API Token机制来保证用户身份的安全验证。最常见的方式是通过 Laravel Sanctum 或 Passport 来生成和管理Token。对于大多数前后端分离项目,Laravel Sanctum 是更轻量且合适的选择。
1. 使用 Laravel Sanctum 实现Token认证
Laravel Sanctum 为SPA(单页应用)、移动端应用以及简单API提供了简洁的API认证方案。它通过为用户发放多个API Token,并对每个Token设置作用范围(abilities)来控制权限。
【安装与配置】首先,在Laravel项目中安装 Sanctum:
- 运行命令:
composer require laravel/sanctum - 发布配置文件和迁移:
php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider" - 执行数据库迁移:
php artisan migrate
确保 app/Http/Kernel.php 中已注册 Sanctum 中间件:
立即学习“前端免费学习笔记(深入)”;
'api' => [
\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
该中间件会处理跨域请求中的Cookie状态,支持无状态Token或基于Cookie的认证。
2. 用户登录并生成Token
当用户登录时,后端验证账号密码后,为其创建Token并返回给前端。
【示例登录接口】use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
public function login(Request $request)
{
$credentials = $request->only('email', 'password');
if (!Auth::attempt($credentials)) {
return response()->json(['message' => 'Invalid credentials'], 401);
}
$user = Auth::user();
$token = $user->createToken('frontend-token')->plainTextToken;
return response()->json([
'access_token' => $token,
'token_type' => 'Bearer',
'user' => $user
]);
}
前端收到 access_token 后,应将其存储在 localStorage 或内存中,并在后续请求中携带至服务端。
3. 前端请求携带Token
前端每次请求API时,需在请求头中添加Token:
Authorization: Bearer【Axios 示例】
axios.defaults.headers.common['Authorization'] = 'Bearer ' + token;
也可在每次请求时单独设置:
axios.get('/api/user', {
headers: {
'Authorization': 'Bearer ' + token
}
});
4. 保护API路由
在 routes/api.php 中使用 auth:sanctum 中间件保护需要认证的接口:
use Illuminate\Http\Request;
Route::middleware('auth:sanctum')->group(function () {
Route::get('/user', function (Request $request) {
return $request->user();
});
Route::post('/logout', function (Request $request) {
$request->user()->currentAccessToken()->delete();
return ['message' => 'Logged out'];
});
});
这样只有携带有效Token的请求才能访问这些接口。
5. 注销与删除Token
用户退出登录时,应删除当前使用的Token以增强安全性。
// 删除当前Token $request->user()->currentAccessToken()->delete(); // 或删除所有Token $request->user()->tokens()->delete();
前端同时清除本地存储的Token。
基本上就这些。Laravel Sanctum 提供了足够简单又安全的方式来实现前端Token认证,适合大多数前后端分离项目。只要前后端约定好Token传递方式,并妥善管理生命周期,就能实现稳定可靠的认证机制。
