Laravel Sanctum 是一种轻量级 API 认证方案，适用于 SPA 和前后端分离项目，通过发放 API Token 实现认证。1. 安装 Sanctum 后发布迁移并运行，确保 auth 配置中 guard 为 web 且 api 使用 sanctum 驱动。2. 在 Kernel.php 的 api 中间件组添加 EnsureFrontendRequestsAreStateful 以支持 Cookie 和 Token 认证。3. 用户登录后调用 createToken 生成 Token，前端在 Authorization 头携带 Bearer Token 请求，后端用 auth:sanctum 中间件验证身份。4. 可选权限控制：创建 Token 时指定权限如 ['read', 'write']，通过 tokenCan 方法检查权限，增强安全性。Sanctum 简洁高效，适合中小型项目，关键在于正确配置中间件与 guard。

Laravel Sanctum 是 Laravel 提供的一种轻量级 API 认证方案，特别适合用于 SPA（单页应用）、移动端应用或简单前后端分离项目。它不像 Passport 那样复杂，不需要 OAuth，而是通过为用户发放 API Token 的方式实现认证，使用起来更简单高效。

1. 安装与配置 Sanctum

在 Laravel 项目中使用 Sanctum，首先需要通过 Composer 安装：

安装完成后，发布 Sanctum 的迁移文件：

然后运行迁移命令，生成存储 API Token 的数据表：

接下来，在 config/auth.php 中确保默认的 guard 设置为 web，同时添加 Sanctum 支持：

并确保 api guard 使用 sanctum 驱动：

2. 启用 Sanctum 中间件

Sanctum 需要在 API 请求中检查 Token，因此需要将 EnsureFrontendRequestsAreStateful 中间件包含到 app/Http/Kernel.php 的 $middlewareGroups 的 api 组中：

这个中间件负责处理跨域请求中的 Cookie 和 Token 认证逻辑。

3. 生成 Token 并进行认证

用户登录后，可以通过调用用户的 createToken 方法生成一个 Token：

$user = User::where('email', $request->email)->first();

if (! $user || ! Hash::check($request->password, $user->password)) {
  return response()->json(['message' => '凭证无效'], 401);
}

$token = $user->createToken('api-token')->plainTextToken;

return response()->json(['token' => $token]);

前端在后续请求中需在 Authorization 头中携带该 Token：

例如使用 axios 发送请求：

在受保护的路由中，可通过 auth:sanctum 中间件验证用户身份：

4. Token 权限控制（可选）

Sanctum 支持简单的 Token 权限管理。创建 Token 时可以指定权限：

在接口中检查当前 Token 是否拥有特定权限：

这样可以在不同场景下控制 Token 的访问能力，提升安全性。

基本上就这些。Sanctum 简洁实用，适合大多数中小型项目做 API 认证，不复杂但容易忽略中间件和 guard 配置细节。只要按步骤走通流程，就能快速实现安全的 Token 认证。