Laravel API认证？Token认证怎样实现？-Laravel-PHP中文网

Laravel API认证？Token认证怎样实现？

月夜之吻

发布： 2025-09-06 08:55:02

原创

402人浏览过

Laravel API认证推荐使用Token机制，通过配置auth:api中间件和token驱动实现；用户登录后生成唯一api_token并返回，客户端在后续请求中携带Bearer Token；为提升安全，应启用HTTPS、设置Token过期时间、限制IP或用户代理，并优先选用Sanctum（适合简单场景）或Passport（支持OAuth2、第三方集成）以获得更完善的权限管理功能。

laravel api认证？token认证怎样实现？

Laravel API认证的核心在于确保只有授权用户才能访问你的API。Token认证是一种常见的实现方式，它允许客户端在每次请求时携带一个令牌，服务器验证令牌的有效性来决定是否允许访问。

解决方案：

选择认证驱动： Laravel默认提供多种认证驱动，例如
```
token
```
登录后复制
、
```
passport
```
登录后复制
、
```
sanctum
```
登录后复制
等。
```
passport
```
登录后复制
和
```
sanctum
```
登录后复制
更适合复杂的应用，而
```
token
```
登录后复制
驱动则相对简单，适合快速实现API认证。这里我们假设使用
```
token
```
登录后复制
驱动，因为它足够简单，能快速上手。
配置
```
config/auth.php
```
登录后复制
：在
```
guards
```
登录后复制
数组中，添加一个新的guard，使用
```
token
```
登录后复制
驱动。同时，在
```
providers
```
登录后复制
数组中，配置用户provider。例如：
```
'guards' => [
    'api' => [
        'driver' => 'token',
        'provider' => 'users',
        'hash' => false,
    ],
],

'providers' => [
    'users' => [
        'driver' => 'eloquent',
        'model' => App\Models\User::class,
    ],
],
```
登录后复制
```
hash
```
登录后复制
设置为
```
false
```
登录后复制
表示token不进行哈希处理，方便直接比较。

修改User模型： 在

User

登录后复制

模型中，添加一个

api_token

登录后复制

字段。这可以通过migration来完成：

Schema::table('users', function (Blueprint $table) {
    $table->string('api_token', 80)->after('password')
                          ->unique()
                          ->nullable()
                          ->default(Str::random(60));
});

登录后复制

这里使用了

Str::random(60)

登录后复制

生成一个随机的token。

生成Token： 用户注册或登录后，为其生成一个

api_token

登录后复制

。这可以在控制器中完成：

public function register(Request $request)
{
    // ... 验证逻辑 ...

    $user = User::create([
        'name' => $request->name,
        'email' => $request->email,
        'password' => Hash::make($request->password),
        'api_token' => Str::random(60),
    ]);

    return response()->json(['api_token' => $user->api_token]);
}

登录后复制

使用中间件： Laravel提供了
```
auth:api
```
登录后复制
中间件来保护API路由。在
```
routes/api.php
```
登录后复制
中，使用该中间件：
```
Route::middleware('auth:api')->get('/user', function (Request $request) {
    return $request->user();
});
```
登录后复制
客户端请求： 客户端在请求API时，需要在header中携带
```
Authorization
```
登录后复制
字段，值为
```
Bearer {api_token}
```
登录后复制
。例如：
```
Authorization: Bearer your_api_token
```
登录后复制
处理Token过期： 简单的Token认证没有过期机制。如果要实现Token过期，可以考虑以下方案：
- 在
```
users
```
  登录后复制
  表中添加
```
token_expires_at
```
  登录后复制
  字段，记录Token的过期时间。
- 在中间件中，检查Token是否过期。如果过期，则返回401错误。
- 提供刷新Token的接口，允许用户在Token过期前刷新Token。

Laravel Sanctum和Passport提供了更完善的Token管理机制，包括Token的scopes、过期时间、刷新Token等功能。如果你的应用需要更复杂的API认证，建议使用这两个包。

Alkaid.art

专门为Phtoshop打造的AIGC绘画插件

153

查看详情

Token认证的安全性取决于Token的保密性。请务必使用HTTPS协议来保护Token在传输过程中的安全。

Laravel Sanctum和Passport的区别？

Sanctum主要用于单页面应用（SPA）、移动应用和简单的API认证。它使用轻量级的Token，存储在数据库中，可以轻松地为用户生成多个Token，并可以为每个Token分配不同的权限。Sanctum的核心优势在于其简单易用，配置简单，适用于大多数小型和中型项目。

Passport则是OAuth 2.0的完整实现，提供了更强大的功能，例如授权码、客户端凭据、隐式授权等。Passport适用于需要与第三方应用集成的场景，例如，允许其他应用访问你的API。Passport的配置相对复杂，但提供了更高级的功能，例如Token的scopes、刷新Token等。

简单来说，如果你的应用只需要简单的API认证，Sanctum是一个不错的选择。如果你的应用需要与第三方应用集成，Passport则是更好的选择。

如何防止Token被盗用？

防止Token被盗用是一个安全问题，没有绝对安全的方案，但可以采取以下措施来降低风险：

使用HTTPS： 确保所有API请求都使用HTTPS协议，防止Token在传输过程中被窃听。
Token过期时间： 设置Token的过期时间，即使Token被盗用，也只能在有限的时间内使用。
Token刷新： 提供Token刷新机制，允许用户在Token过期前刷新Token，减少Token被盗用的风险。
IP限制： 限制Token只能从特定的IP地址访问，可以有效防止Token被异地盗用。
用户代理限制： 限制Token只能从特定的用户代理访问，可以有效防止Token被模拟盗用。
双因素认证： 启用双因素认证，即使Token被盗用，也需要额外的验证才能访问API。
Token存储： 不要将Token存储在客户端的localStorage或cookie中，这些地方容易被XSS攻击窃取。建议将Token存储在内存中，或者使用更安全的存储方式，例如HTTPOnly cookie。
监控和日志： 监控API请求，记录所有可疑的活动，例如，大量的失败请求、来自未知IP地址的请求等。