Laravel Sanctum通过个人访问令牌为移动App提供轻量级API认证，用户登录后生成带权限的token并返回明文，客户端在后续请求中携带Bearer Token；支持按场景分配read/write等权限，并可在登出时删除当前或所有设备token，结合安全存储机制保障API调用安全。

Laravel Sanctum 为移动 App 提供了一种轻量且安全的方式来生成和管理 API Token。它不像 Passport 那样复杂，适合不需要 OAuth 的场景，比如原生 App 或单页应用（SPA）通过 API 通信。

如何生成 API Token

Sanctum 使用“个人访问令牌”（Personal Access Tokens）机制，每个用户可以拥有多个 token，每个 token 可设置权限和过期时间。

以下是为移动 App 用户生成 token 的基本流程：

• 用户通过登录接口提交用户名和密码
• 服务器验证凭证，成功后为该用户创建一个 Sanctum token
• 返回 token 给客户端，后续请求携带此 token 认证

$user = Auth::attempt($credentials);

if ($user) {

  $token = $user->createToken('mobile-app');

  return response()->json([

    'token' => $token->plainTextToken,

    'user' => $user

  ]);

}

注意：createToken() 返回的是 Laravel\Sanctum\NewAccessToken 对象，调用 plainTextToken 属性获取明文 token 并返回给客户端。

Token 的权限控制

Sanctum 支持为 token 分配权限（scopes），便于限制其可访问的资源。

例如，你可以为只读操作和写入操作分配不同权限：

• 创建 token 时指定权限：$user->createToken('app', ['read', 'write'])
• 在路由或中间件中检查权限：$request->user()->tokenCan('write')

这样可以在敏感操作前进行判断，增强安全性。

Token 的撤销与管理

移动 App 场景下，用户可能在多设备登录，需要支持登出、切换账号或清除 token。

常用管理方式包括：

• 登出时删除当前 token：$request->user()->currentAccessToken()->delete();
• 登出所有设备：循环删除用户所有 token：$user->tokens()->delete();
• 前端存储建议：将 token 存储在安全位置，如 iOS 的 Keychain 或 Android 的 SharedPreferences 加密存储，避免被窃取

配置与注意事项

确保已正确配置 Sanctum：

• 运行 php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"
• 执行迁移：php artisan migrate
• 在 config/sanctum.php 中确认状态守卫设置为 ['web']，API 使用 sanctum 中间件
• API 路由使用 scheme:mobile 等命名策略时，确保中间件生效

移动端请求必须在 Header 中携带 token：

Authorization: Bearer

基本上就这些。Sanctum 简洁高效，特别适合移动 App 的 token 管理需求，只要注意 token 存储安全和及时清理无效 token，就能保障 API 接口的安全调用。