Laravel Sanctum通过API Token实现前后端分离认证,首先安装并发布迁移文件,执行php artisan migrate创建personal_access_tokens表,确保Kernel.php中注册EnsureFrontendRequestsAreStateful中间件;接着在User模型引入HasApiTokens trait以支持Token生成;配置auth.php中api守卫驱动为sanctum;创建登录接口验证用户并调用createToken返回plainTextToken;前端存储Token并在请求头携带Bearer令牌;使用auth:sanctum中间件保护API路由;退出时调用currentAccessToken()->delete()注销当前Token;推荐前端用Axios设置默认Authorization头,401时跳转登录。
Laravel Sanctum 是 Laravel 提供的一种轻量级 API 认证机制,特别适合用于前后端分离项目中的用户登录与状态管理。它通过为用户发放 API Token 的方式实现认证,也可以结合 SPA(单页应用)的会话机制来保护路由。下面介绍如何使用 Laravel Sanctum 实现前后端分离的认证流程。
1. 安装和配置 Sanctum
在 Laravel 项目中安装 Sanctum 非常简单:
- 运行命令:composer require laravel/sanctum
- 发布迁移文件:php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"
- 执行迁移:php artisan migrate
完成后,Sanctum 会在数据库中创建 personal_access_tokens 表,用于存储用户生成的 Token。
在 app/Http/Kernel.php 中,确保 EnsureFrontendRequestsAreStateful 中间件已注册在 api 组中,它允许来自前端域名的请求保持会话状态(适用于 SPA 场景)。
2. 启用模型 Token 支持
默认情况下,User 模型需要使用 HasApiTokens trait 来支持 Sanctum 的 token 认证:
use Laravel\Sanctum\HasApiTokens;
class User extends Authenticatable
{
use HasApiTokens;
}
这样该模型就可以生成和管理 API Token。
3. 配置认证守卫
打开 config/auth.php,确认 API 认证守卫使用的是 Sanctum:
'guards' => [
'api' => [
'driver' => 'sanctum',
'provider' => 'users',
],
],
这表示所有带 token 的 API 请求将由 Sanctum 处理。
4. 登录接口:生成 Token
创建一个登录接口,验证用户后返回登录状态或 Token。例如在控制器中:
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
public function login(Request $request)
{
$credentials = $request->only('email', 'password');
if (Auth::attempt($credentials)) {
$user = Auth::user();
$token = $user->createToken('api-token')->plainTextToken;
return response()->json([
'message' => '登录成功',
'token' => $token,
'user' => $user
]);
}
return response()->json(['message' => '账号或密码错误'], 401);
}
前端拿到 token 后,在后续请求的 Authorization 头中携带:
Bearer 1|xyz...
5. 保护 API 路由
在 routes/api.php 中使用 sanctum.auth 中间件保护需要认证的接口:
Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
return $request->user();
});
只有携带有效 Token 的请求才能访问这些接口。
6. 退出登录:注销 Token
用户退出时,可以销毁当前使用的 Token:
public function logout(Request $request)
{
$request->user()->currentAccessToken()->delete();
return response()->json(['message' => '已退出']);
}
如果想删除所有 Token,可调用:$request->user()->tokens()->delete();
7. 前端配合建议
- 登录成功后,前端将 Token 存入内存或 localStorage,并在每次请求头中添加
Authorization: Bearer [token] - 推荐使用 Axios 设置默认 header:
axios.defaults.headers.common['Authorization'] = 'Bearer ' + token; - 遇到 401 错误时跳转到登录页
基本上就这些。Laravel Sanctum 简洁高效,特别适合 Vue/React + Laravel 的前后端分离项目。它既支持无状态 Token 认证,也能配合 Session 实现更安全的 SPA 登录体验。
