Laravel Sanctum 是一种轻量级 API 认证方案,适用于 SPA 和前后端分离项目,通过发放 API Token 实现认证。1. 安装 Sanctum 后发布迁移并运行,确保 auth 配置中 guard 为 web 且 api 使用 sanctum 驱动。2. 在 Kernel.php 的 api 中间件组添加 EnsureFrontendRequestsAreStateful 以支持 Cookie 和 Token 认证。3. 用户登录后调用 createToken 生成 Token,前端在 Authorization 头携带 Bearer Token 请求,后端用 auth:sanctum 中间件验证身份。4. 可选权限控制:创建 Token 时指定权限如 ['read', 'write'],通过 tokenCan 方法检查权限,增强安全性。Sanctum 简洁高效,适合中小型项目,关键在于正确配置中间件与 guard。
Laravel Sanctum 是 Laravel 提供的一种轻量级 API 认证方案,特别适合用于 SPA(单页应用)、移动端应用或简单前后端分离项目。它不像 Passport 那样复杂,不需要 OAuth,而是通过为用户发放 API Token 的方式实现认证,使用起来更简单高效。
1. 安装与配置 Sanctum
在 Laravel 项目中使用 Sanctum,首先需要通过 Composer 安装:
composer require laravel/sanctum安装完成后,发布 Sanctum 的迁移文件:
php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"然后运行迁移命令,生成存储 API Token 的数据表:
php artisan migrate接下来,在 config/auth.php 中确保默认的 guard 设置为 web,同时添加 Sanctum 支持:
'defaults' => ['guard' => 'web',
]
并确保 api guard 使用 sanctum 驱动:
'guards' => ['api' => [
'driver' => 'sanctum',
'provider' => 'users',
],
]
2. 启用 Sanctum 中间件
Sanctum 需要在 API 请求中检查 Token,因此需要将 EnsureFrontendRequestsAreStateful 中间件包含到 app/Http/Kernel.php 的 $middlewareGroups 的 api 组中:
'api' => [\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
>\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
这个中间件负责处理跨域请求中的 Cookie 和 Token 认证逻辑。
3. 生成 Token 并进行认证
用户登录后,可以通过调用用户的 createToken 方法生成一个 Token:
$user = User::where('email', $request->email)->first();
if (! $user || ! Hash::check($request->password, $user->password)) {
return response()->json(['message' => '凭证无效'], 401);
}
$token = $user->createToken('api-token')->plainTextToken;
return response()->json(['token' => $token]);
前端在后续请求中需在 Authorization 头中携带该 Token:
Bearer your-plain-text-token例如使用 axios 发送请求:
axios.get('/api/user', {headers: {
'Authorization': 'Bearer ' + token
}
})
在受保护的路由中,可通过 auth:sanctum 中间件验证用户身份:
Route::middleware('auth:sanctum')->get('/user', function (Request $request) {return $request->user();
});
4. Token 权限控制(可选)
Sanctum 支持简单的 Token 权限管理。创建 Token 时可以指定权限:
$token = $user->createToken('api-token', ['read', 'write'])->plainTextToken;在接口中检查当前 Token 是否拥有特定权限:
if ($request->user()->tokenCan('write')) {// 允许写操作
}
这样可以在不同场景下控制 Token 的访问能力,提升安全性。
基本上就这些。Sanctum 简洁实用,适合大多数中小型项目做 API 认证,不复杂但容易忽略中间件和 guard 配置细节。只要按步骤走通流程,就能快速实现安全的 Token 认证。
