本文详解如何在两个独立部署的 laravel 应用(如 app a 与 app b)之间,基于 laravel sanctum 实现安全、可维护的跨域会话共享与单点登录(sso)能力。
本文详解如何在两个独立部署的 laravel 应用(如 app a 与 app b)之间,基于 laravel sanctum 实现安全、可维护的跨域会话共享与单点登录(sso)能力。
Laravel Sanctum 原生设计聚焦于 SPA(单页应用)和移动应用 的 API 认证,但通过合理配置,它同样能支撑 多个 Laravel 后端应用之间的可信联合认证——前提是它们共享同一套用户体系与密钥基础设施。关键不在于“是否可行”,而在于“如何安全、可扩展地实现”。
✅ 核心前提条件
要使 Sanctum 在两个独立 Laravel 应用(App A 和 App B)间协同工作,必须满足以下三点:
- 共享用户数据源:两个应用连接同一数据库(或通过 API 同步用户表),确保 users 表结构与 ID 一致;
- 共用 Sanctum 密钥与配置:将 .env 中的 SANCTUM_STATEFUL_DOMAINS、SESSION_DOMAIN 及 APP_KEY 保持一致(尤其 APP_KEY 必须完全相同,否则加密/解密失败);
- 统一的认证中间件与守卫配置:在 config/auth.php 中,确保 sanctum guard 指向相同的 provider(如 users),且 config/sanctum.php 中的 stateful 域名列表包含双方前端域名(如 app-a.com, app-b.com)。
? 配置示例(App A 与 App B 共用)
# .env(两端均需一致) APP_KEY=base64:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx= SESSION_DRIVER=cookie SESSION_LIFETIME=120 SESSION_DOMAIN=.yourdomain.com # 注意:以点开头,支持子域共享(如 app-a.yourdomain.com & app-b.yourdomain.com) SANCTUM_STATEFUL_DOMAINS=app-a.yourdomain.com,app-b.yourdomain.com
// config/sanctum.php(两端保持一致)
'stateful' => explode(',', env('SANCTUM_STATEFUL_DOMAINS', '')),
'guard' => ['web'], // 确保使用 web 中间件栈⚠️ 注意事项:
- 若应用部署在完全不同的主域(如 app-a.com 与 app-b.org),浏览器 Cookie 无法跨域共享,此时 Sanctum 的 cookie-based 机制失效;应改用 Token-based API 认证(即 App B 作为客户端,调用 App A 的 /login 接口获取 Bearer Token,后续请求携带该 Token 调用 App A 的受保护 API)。
- 不建议直接共享 APP_KEY 用于生产多租户系统;更健壮的方案是引入独立认证服务(如 Laravel Passport 或自建 OAuth2 Server),让 App A 和 App B 均作为 OAuth 客户端接入。
✅ 验证流程(Cookie 模式,同根域场景)
- 用户在 app-a.yourdomain.com/login 登录 → Sanctum 发送 XSRF-TOKEN + 加密 laravel_session Cookie;
- 用户跳转至 app-b.yourdomain.com/dashboard → 浏览器自动携带 laravel_session(因 SESSION_DOMAIN=.yourdomain.com);
- App B 的 auth:sanctum 中间件成功验证会话,无需二次登录。
? 总结
Sanctum 支持跨 Laravel 应用认证,但本质是共享会话状态的延伸使用,而非分布式认证协议。它适用于同组织、同根域、轻量级 SSO 场景;对于异构域、高安全要求或多平台生态,建议升级至 Passport、Laravel Jetstream(含 Teams)、或标准 OIDC 方案。始终遵循最小权限原则,并在生产环境启用 HTTPS 与严格 Cookie 属性(Secure, HttpOnly, SameSite=Lax)。
