答案:在Laravel中配置API认证守卫需使用Sanctum,先安装并发布配置,确保api守卫驱动设为sanctum,用户模型使用HasApiTokens,通过auth:sanctum中间件保护路由,并在前端请求时携带Bearer Token或依赖Cookie验证。
在 Laravel 中为前端 API 请求设置认证守卫(Guard),主要是通过配置 API Guard 并结合 Token 认证机制 实现。以下是具体步骤,帮助你正确配置和使用 API Guard。
Laravel 默认使用 web 和 api 两个守卫。你需要确保 api 守卫使用合适的驱动和用户提供器:
检查或修改以下内容:
'guards' => [
'api' => [
'driver' => 'token', // 或 'sanctum' / 'jwt'(若使用扩展)
'provider' => 'users',
'hash' => false,
],
],
如果你使用的是 Laravel Sanctum(推荐用于 SPA + API 场景),应改为:
'api' => [
'driver' => 'sanctum',
'provider' => 'users',
],
对于前后端分离的项目,Laravel Sanctum 是最合适的方案。它支持 Token 认证,也支持 SPA 的 Cookie 认证。
安装 Sanctum:
composer require laravel/sanctum php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider" php artisan migrate
在 app/Http/Kernel.php 的 api 中间件组中加入 Sanctum 支持:
'api' => [
\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
确保你的用户模型使用 HasApiTokens trait:
use Laravel\Sanctum\HasApiTokens;
class User extends Authenticatable
{
use HasApiTokens;
}
在 routes/api.php 中使用 auth:sanctum 中间件来保护需要登录的接口:
Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
return $request->user();
});
前端请求时,如果是 SPA,只需正常发起请求,Laravel 会通过 Cookie 自动验证。如果是移动端或第三方调用,则需在请求头中带上 Token:
Authorization: Bearer
你可以通过用户模型生成 Token:
$user =Auth::user(); $token = $user->createToken('api-token')->plainTextToken;
如果你需要多个 API 守卫(如 admin_api、user_api),可以在 config/auth.php 中添加新的守卫:
Auth::user();
$token = $user->createToken('api-token')->plainTextToken;
'guards' => [
'user_api' => [
'driver' => 'sanctum',
'provider' => 'users',
],
'admin_api' => [
'driver' => 'sanctum',
'provider' => 'admins', // 需要定义 admins 提供器
],
],
然后在路由中使用:
Route::middleware('auth:user_api')->get('/user/profile', ...);
基本上就这些。使用 Sanctum 是目前最简单且安全的方式,特别适合与 Vue、React 等前端框架配合。只要配置好 Guard 和中间件,API 认证就能顺利运行。
服务热线