laravel api 用户验证失败主因是路由未绑定 auth:sanctum 中间件,导致 authorization: bearer token 不被校验;须显式添加 middleware('auth:sanctum'),注意 bearer 后空格、勿手动调用私有 sanctum::authenticate()、区分密码重置接口依赖。
API 路由没走 auth:sanctum 中间件,token 根本不校验
很多 Laravel API 用户卡在这一步:写了 Auth::user(),返回 null,但前端明明传了 Authorization: Bearer xxx。根本原因是路由没绑定 Sanctum 的认证中间件。
实操建议:
- 确保 API 路由在
routes/api.php中显式加了middleware('auth:sanctum'),比如:Route::get('/user', function (Request $request) {<br> return $request->user();<br>})->middleware('auth:sanctum'); - 别依赖
api中间件组自动带 auth——Laravel 默认的api组只加了throttle,不包含任何认证逻辑 - 检查
app/Http/Kernel.php里api组是否被意外覆盖或注释掉
Sanctum::authenticate() 不是公开 API,别手动调用它
有人看到源码里有 Sanctum::authenticate() 就想拿来手动校验 token,结果抛出 BadMethodCallException。这个方法是内部使用的私有静态方法,没有 public 声明,也不接受任意 token 字符串。
正确做法只有两个:
动态WEB网站中的PHP和MySQL详细反映实际程序的需求,仔细地探讨外部数据的验证(例如信用卡卡号的格式)、用户登录以及如何使用模板建立网页的标准外观。动态WEB网站中的PHP和MySQL的内容不仅仅是这些。书中还提到如何串联JavaScript与PHP让用户操作时更快、更方便。还有正确处理用户输入错误的方法,让网站看起来更专业。另外还引入大量来自PEAR外挂函数库的强大功能,对常用的、强大的包
- 走标准中间件流程(上一条说的
auth:sanctum),让 Sanctum 自动从请求头、cookie 或 query 解析并验证 token - 需要手动校验时,用
PersonalAccessToken::findToken($token)——但注意这只会查数据库,不校验过期、IP、UA 等附加约束 - 别试图 patch
Guard或重写SanctumServiceProvider来“增强”校验逻辑,容易破坏 session 兼容性和 CSRF 防护
前端传 token 时漏了 Bearer 前缀,401 却没提示原因
错误现象:Postman 里直接填 xxxabc123 当 Authorization 值,后端返回 401,日志里也看不到具体哪步失败。因为 Sanctum 的 Guard 在解析 header 时,会严格匹配 Bearer xxx 格式,缺空格或前缀就直接跳过。
排查要点:
- 检查请求 header 是否为
Authorization: Bearer xxxabc123(注意 Bearer 后有一个空格) - Vue/Axios 用户常在
headers里写成'Authorization': 'Bearer' + token,忘了加空格,变成Bearerxxx - 用
curl -H "Authorization: Bearer xxx"测试最可靠,避免框架封装隐藏细节 - 如果用 cookie 模式(SPA 同域),确认
X-XSRF-TOKEN已随响应返回且前端已读取设置
用户模型没实现 CanResetPassword,但 API 报错说 “User must use CanResetPassword”
这是 Sanctum 和 Laravel 内置密码重置逻辑混淆导致的典型误报。当你在 API 中用了 ForgotPasswordController 或调了 Password::broker()->sendResetLink(),而用户模型没实现 CanResetPassword 接口,就会触发这个错误——但它和 Sanctum 本身无关。
关键区分点:
- 用户登录、token 校验(
auth:sanctum)完全不依赖CanResetPassword - 只有主动调用密码重置相关功能时才需要该接口,API 场景下通常应禁用 Web 密码重置,改用短信/邮箱验证码等无状态方式
- 如果真要保留密码重置,就在用户模型加
use CanResetPassword;,别删use Notifiable;,否则邮件发不出
