Laravel开发：如何使用Laravel Sanctum实现API身份验证？-Laravel-PHP中文网

首页

php框架

Laravel

Laravel开发：如何使用Laravel Sanctum实现API身份验证？

PHPz

Jun 14, 2023 am 08:21 AM

laravelsanctumapi验证

随着RESTful API的普及和应用的广泛使用，越来越多的应用程序需要对API进行身份验证和授权，因此API安全性已成为当今软件开发中极其重要的一个方面。Laravel Sanctum是Laravel 7.0引入的开箱即用的轻量级身份验证系统，它旨在让API身份验证变得简单而安全。在本篇文章中，我们将介绍如何在Laravel中使用Sanctum来保证API的安全性。

安装Laravel Sanctum

在开始之前，我们需要确认已经安装好Laravel 7.0+版本。然后我们可以使用composer安装Laravel Sanctum依赖：

composer require laravel/sanctum

安装完Sanctum之后，在config/app.php文件中加入以下代码：

'providers' => [
    // ...
    LaravelSanctumSanctumServiceProvider::class,
],

'aliases' => [
    //...
    'Sanctum' => LaravelSanctumSanctum::class,
]

这样，Laravel应用程序就已经使用了Sanctum提供的服务和功能。

配置数据库

接下来，在执行数据库迁移之前，我们需要设置Sanctum的数据库表。 Larave lSanctum默认提供了一个包含以下字段的personal_access_tokens数据库表：

id：令牌的唯一标识符
tokenable_type：与令牌关联的模型的类名
tokenable_id：与令牌关联的模型的ID
name：令牌的名称
token：API令牌的值
abilities：令牌的授权

在创建personal_access_tokens表之前，我们需要先创建模型关系。可以通过在AuthServiceProvider中注册以下内容来完成：

use LaravelSanctumSanctum;
//...

public function boot()
{
    $this->registerPolicies(); 

    Sanctum::ignoreMigrations();

    Sanctum::actingAs( null, [
        'superuser'
    ]);
}

Sanctum::ignoreMigrations()用于阻止Laravel在artisan migrate命令中执行Sanctum的数据库迁移文件。但是，在大多数情况下，我们只是将其添加到数据库迁移文件的命令中。Sanctum::actingAs()还提供了一种仅用于开发的方法，该方法在没有用户身份验证的情况下模拟用户身份。

然后，我们需要运行以下命令来创建personal_access_tokens表：

php artisan migrate

创建API令牌

Laravel Sanctum为我们提供了两种方式来为API生成令牌。一种是CreateToken方法，该方法可以创建一个或多个包含可选名称和授予权限的API令牌。这里我们介绍第二种方法，即使用hasApiTokens()函数配合createToken()函数：

// use the HasApiTokens trait within your User Model
use LaravelSanctumHasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, Notifiable;

    // ...
}

// create a Token with User ID and given Abilities
$personalAccessToken = $user->createToken('API Token', ['server:get','server:post']);

这里我们在用户模型中使用了HasApiTokensTrait，以便在用户模型中实现API令牌功能。我们使用createToken方法来创建一个API令牌，并在创建令牌时指定了一个可选的名称和授权的权限键。

保护API路由

有了API密钥，我们就可以将其注入到每个请求中以进行身份验证。我们可以在Laravel的路由文件中使用sanctum中间件来保护API路由，以便验证请求中的令牌：

// A Group of API routes that require a valid Token
Route::group(['middleware' => 'auth:sanctum'], function () {
    Route::get('/user', function (Request $request) {
        return $request->user();
    });
});

在这段代码中，我们定义了一个包含验证sanctum中间件的路由组。路由组中包含一条路由，该路由仅需要一个有效的Token才能访问。

使用Bearer令牌

使用Bearer令牌是通过HTTP Authorization头来发送API令牌的最常见方法。可以通过在请求头中加入Authorization: Bearer {{$personalAccessToken->plainTextToken}}来授权令牌：

curl -H "Authorization: Bearer xxxxx" http://example.com/api/user

撤销API令牌

最后，我们需要了解如何撤销API令牌。我们可以使用tokens()->delete()函数来删除某个用户的所有API令牌，或使用revoke()函数来撤销单个API令牌：

$user->tokens()->delete();

$personalAccessToken->revoke();

结束语

现在我们已经成功地实现了Sanctum身份验证来保护我们的API。Sanctum和Laravel提供了简单而强大的API身份验证，这使得开发人员可以专注于构建强大的API，并将主要的关注点放在业务逻辑上。在使用Sanctum时，强烈建议您仔细阅读官方文档，这样您就可以全面了解API的身份验证过程，并确保应用程序具有最高的安全性。

以上是Laravel开发：如何使用Laravel Sanctum实现API身份验证？的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

行动中的Laravel：现实世界的应用和示例Apr 16, 2025 am 12:02 AM

laravelcanbeeffectefection ininreal-worldapplications forbuildingscalablewebsolutions.1）ITSImplifieCrudoperationsInrestfulaPisusingEloquentorm.2）laravel'secosystem，包括Toolslikenova，包括Toolslikenova，增强功能

Laravel的主要功能：后端开发Apr 15, 2025 am 12:14 AM

Laravel在后端开发中的核心功能包括路由系统、EloquentORM、迁移功能、缓存系统和队列系统。1.路由系统简化了URL映射，提高了代码组织和维护性。2.EloquentORM提供了面向对象的数据操作，提升了开发效率。3.迁移功能通过版本控制管理数据库结构，确保一致性。4.缓存系统减少数据库查询，提升响应速度。5.队列系统有效处理大规模数据，避免阻塞用户请求，提升整体性能。

Laravel的后端功能：数据库，逻辑等等Apr 14, 2025 am 12:04 AM

Laravel在后端开发中表现强大，通过EloquentORM简化数据库操作，控制器和服务类处理业务逻辑，并提供队列、事件等功能。1)EloquentORM通过模型映射数据库表，简化查询。2)业务逻辑在控制器和服务类中处理，提高模块化和可维护性。3)其他功能如队列系统帮助处理复杂需求。

Laravel的多功能性：从简单站点到复杂系统Apr 13, 2025 am 12:13 AM

选择Laravel开发项目是因为其灵活性和强大功能适应不同规模和复杂度的需求。Laravel提供路由系统、EloquentORM、Artisan命令行等功能，支持从简单博客到复杂企业级系统的开发。

Laravel（PHP）与Python：开发环境和生态系统Apr 12, 2025 am 12:10 AM

Laravel和Python在开发环境和生态系统上的对比如下：1.Laravel的开发环境简单，仅需PHP和Composer，提供了丰富的扩展包如LaravelForge，但扩展包维护可能不及时。2.Python的开发环境也简单，仅需Python和pip，生态系统庞大，涵盖多个领域，但版本和依赖管理可能复杂。

Laravel和后端：为Web应用程序提供动力逻辑Apr 11, 2025 am 11:29 AM

Laravel是如何在后端逻辑中发挥作用的？它通过路由系统、EloquentORM、认证与授权、事件与监听器以及性能优化来简化和增强后端开发。1.路由系统允许定义URL结构和请求处理逻辑。2.EloquentORM简化数据库交互。3.认证与授权系统便于用户管理。4.事件与监听器实现松耦合代码结构。5.性能优化通过缓存和队列提高应用效率。

为什么Laravel如此受欢迎？Apr 02, 2025 pm 02:16 PM

Laravel受欢迎的原因包括其简化开发过程、提供愉快的开发环境和丰富的功能。1)它吸收了RubyonRails的设计理念，结合PHP的灵活性。2)提供了如EloquentORM、Blade模板引擎等工具，提高开发效率。3)其MVC架构和依赖注入机制使代码更加模块化和可测试。4)提供了强大的调试工具和性能优化方法，如缓存系统和最佳实践。