信息发布→ 登录 注册 退出

Laravel Sanctum API认证怎么用_Laravel前后端分离认证实现

发布时间:2025-11-28

点击量:
Laravel Sanctum通过API Token实现前后端分离认证,首先安装并发布迁移文件,执行php artisan migrate创建personal_access_tokens表,确保Kernel.php中注册EnsureFrontendRequestsAreStateful中间件;接着在User模型引入HasApiTokens trait以支持Token生成;配置auth.php中api守卫驱动为sanctum;创建登录接口验证用户并调用createToken返回plainTextToken;前端存储Token并在请求头携带Bearer令牌;使用auth:sanctum中间件保护API路由;退出时调用currentAccessToken()->delete()注销当前Token;推荐前端用Axios设置默认Authorization头,401时跳转登录。

Laravel Sanctum 是 Laravel 提供的一种轻量级 API 认证机制,特别适合用于前后端分离项目中的用户登录与状态管理。它通过为用户发放 API Token 的方式实现认证,也可以结合 SPA(单页应用)的会话机制来保护路由。下面介绍如何使用 Laravel Sanctum 实现前后端分离的认证流程。

1. 安装和配置 Sanctum

在 Laravel 项目中安装 Sanctum 非常简单:

  • 运行命令:composer require laravel/sanctum
  • 发布迁移文件:php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"
  • 执行迁移:php artisan migrate

完成后,Sanctum 会在数据库中创建 personal_access_tokens 表,用于存储用户生成的 Token。

app/Http/Kernel.php 中,确保 EnsureFrontendRequestsAreStateful 中间件已注册在 api 组中,它允许来自前端域名的请求保持会话状态(适用于 SPA 场景)。

2. 启用模型 Token 支持

默认情况下,User 模型需要使用 HasApiTokens trait 来支持 Sanctum 的 token 认证:

use Laravel\Sanctum\HasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens;
}

这样该模型就可以生成和管理 API Token。

3. 配置认证守卫

打开 config/auth.php,确认 API 认证守卫使用的是 Sanctum:

'guards' => [
    'api' => [
        'driver' => 'sanctum',
        'provider' => 'users',
    ],
],

这表示所有带 token 的 API 请求将由 Sanctum 处理。

4. 登录接口:生成 Token

创建一个登录接口,验证用户后返回登录状态或 Token。例如在控制器中:

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

public function login(Request $request)
{
    $credentials = $request->only('email', 'password');

    if (Auth::attempt($credentials)) {
        $user = Auth::user();
        $token = $user->createToken('api-token')->plainTextToken;
        
        return response()->json([
            'message' => '登录成功',
            'token' => $token,
            'user' => $user
        ]);
    }

    return response()->json(['message' => '账号或密码错误'], 401);
}

前端拿到 token 后,在后续请求的 Authorization 头中携带:

Bearer 1|xyz...

5. 保护 API 路由

routes/api.php 中使用 sanctum.auth 中间件保护需要认证的接口:

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});

只有携带有效 Token 的请求才能访问这些接口。

6. 退出登录:注销 Token

用户退出时,可以销毁当前使用的 Token:

public function logout(Request $request)
{
    $request->user()->currentAccessToken()->delete();

    return response()->json(['message' => '已退出']);
}

如果想删除所有 Token,可调用:$request->user()->tokens()->delete();

7. 前端配合建议

  • 登录成功后,前端将 Token 存入内存或 localStorage,并在每次请求头中添加 Authorization: Bearer [token]
  • 推荐使用 Axios 设置默认 header:
    axios.defaults.headers.common['Authorization'] = 'Bearer ' + token;
  • 遇到 401 错误时跳转到登录页

基本上就这些。Laravel Sanctum 简洁高效,特别适合 Vue/React + Laravel 的前后端分离项目。它既支持无状态 Token 认证,也能配合 Session 实现更安全的 SPA 登录体验。
标签:# 接口  # 将由  # 跳转  # 会在  # 适用于  # 推荐使用  # 也能  # 令牌  # 的是  # 并在  # 后端  # axios  # http  # 数据库  # 并发  # delete  # php  # Token  # Session  # require  # 中间件  # app  # cad  # composer  # go  # json  # 前端  # js  # laravel  # word  # react  # vue  

上一篇:Laravel限流怎么配置_Laravel Rate Lim

下一篇:Laravel .env文件不生效怎么办_Laravel配置

返回
在线客服
服务热线

服务热线

4008888355

微信咨询
二维码
返回顶部
×二维码

截屏,微信识别二维码

打开微信

微信号已复制,请打开微信添加咨询详情!