Laravel Sanctum轻量,适合SPA和移动应用,使用个人访问令牌;Passport支持OAuth2.0,适用于第三方授权和复杂权限控制。
如果您正在为Laravel应用选择API认证方案,但对Sanctum和Passport的功能边界感到困惑,了解两者的核心差异至关重要。以下是关于Laravel Sanctum与Passport区别的详细解析。
本文运行环境:MacBook Pro,macOS Sonoma
一、核心设计目标不同
Laravel Sanctum旨在提供一个轻量级的认证系统,适用于单页面应用(SPA)、移动应用以及简单的令牌式API访问。它不实现完整的OAuth2.0协议,而是采用个人访问令牌(Personal Access Tokens)或基于会话的Cookie认证。
相比之下,Laravel Passport是一个功能完备的OAuth2.0服务器实现,适合需要第三方客户端授权的应用场景,例如开放平台或需要精细权限控制的多服务架构。
二、认证机制与流程差异
Sanctum的认证流程简单直接:用户登录后生成一个加密的纯文本令牌,前端在后续请求中通过Authorization头携带该令牌即可完成认证。对于SPA应用,Sanctum还能利用Laravel的CSRF保护机制进行基于会话的无状态认证。
1、用户通过标准登录接口提交凭证。
2、服务器验证成功后调用$user->createToken()方法生成令牌。
3、将返回的纯文本令牌(如 1|abc123...)发送给客户端保存。
4、客户端在每个API请求的Header中添加 Authorization: Bearer 。
5、auth:sanctum中间件自动解析令牌并查询personal_access_tokens表以获取关联用户。
Passport则遵循标准的OAuth2.0流程,支持多种授权模式,包括密码授权、授权码模式、客户端凭证等。其认证过程涉及多个端点和更复杂的交互逻辑。
1、客户端需预先注册并获得client_id和client_secret。
2、使用密码授权时,客户端向/oauth/token发起POST请求,附带用户凭证及客户端信息。
3、Passport验证所有信息后,返回一个JWT格式的access_token。
4、客户端在请求头中携带此JWT令牌进行API访问。
5、auth:passport中间件通过公钥验证JWT签名的有效性,并从中提取用户ID进行认证。
三、令牌存储与验证方式
Sanctum将令牌信息存储在数据库的personal_access_tokens表中,每次认证都需要查询数据库来验证令牌的有效性及其关联的用户和权限范围(abilities)。
1、安装Sanctum后执行迁移命令创建personal_access_tokens表。
2、该表记录了令牌ID、所属用户、令牌名称、哈希后的token值、权限数组、过期时间等信息。
3、认证时,从请求头提取原始令牌,分割出ID部分用于数据库查找,再比对哈希值。
Passport使用JWT作为访问令牌的载体,这是一种自包含的无状态令牌。虽然首次发放令牌时需要数据库操作,但后续的验证过程主要依赖于JWT的数字签名,无需每次都查询数据库。
1、Passport在安装时会生成RSA密钥对(oauth-private.key和oauth-public.key)。
2、颁发的access_token是一个经过私钥签名的JWT字符串。
3、验证时,使用公钥检查签名是否有效,并确认令牌未过期,从而完成认证。
四、适用场景对比
对于内部使用的API、单页应用或移动端应用,Sanctum是更合适的选择。它的配置简单,开箱即用,且性能开销较小。
1、在User模型中引入HasApiTokens trait。
2、在路由上应用auth:sanctum中间件。
3、通过php artisan migrate创建必要的数据表。
当您的应用需要支持第三方开发者接入,或者需要实现复杂的权限分级和授权流程时,Passport提供的OAuth2.0标准支持显得尤为重要。
1、通过composer require laravel/passport安装扩展包。
2、运行php artisan passport:install生成密钥和客户端。
3、在AuthServiceProvider中调用Passport::routes()注册认证路由。
