Laravel Sanctum

简介

Laravel Sanctum 为 SPA（单页应用程序）、移动应用程序和简单的基于令牌的 API 提供了一个轻量级的认证系统。Sanctum 允许你的应用程序的每个用户为其帐户生成多个 API 令牌。这些令牌可以被授予能力/作用域，用于指定令牌允许执行的操作。

工作原理

Laravel Sanctum 用于解决两个独立的问题。在深入研究该库之前，让我们分别讨论每个问题。

API 令牌

首先，Sanctum 是一个简单的包，你可以用它向用户颁发 API 令牌，而无需 OAuth 的复杂性。此功能受到 GitHub 和其他发行「个人访问令牌」的应用程序的启发。例如，假设你的应用程序的「帐户设置」有一个页面，用户可以在其中为其帐户生成 API 令牌。你可以使用 Sanctum 来生成和管理这些令牌。这些令牌通常具有很长的过期时间（数年），但用户可以随时手动撤销。

Laravel Sanctum 通过将用户 API 令牌存储在单个数据库表中，并通过 Authorization 头（应包含有效的 API 令牌）对传入的 HTTP 请求进行认证来提供此功能。

SPA 认证

其次，Sanctum 用于提供一种简单的方法来认证需要与 Laravel 驱动的 API 通信的单页应用程序（SPA）。这些 SPA 可能与你的 Laravel 应用程序位于同一仓库中，也可能是一个完全独立的仓库，例如使用 Next.js 或 Nuxt 创建的 SPA。

对于此功能，Sanctum 不使用任何类型的令牌。相反，Sanctum 使用 Laravel 内置的基于 cookie 的会话认证服务。通常，Sanctum 利用 Laravel 的 web 认证守卫来完成此操作。这提供了 CSRF 保护、会话认证以及防止通过 XSS 泄露认证凭据的好处。

Sanctum 仅在传入请求来自你自己的 SPA 前端时才会尝试使用 cookie 进行认证。当 Sanctum 检查传入的 HTTP 请求时，它会首先检查认证 cookie，如果不存在，Sanctum 将检查 Authorization 头以获取有效的 API 令牌.

NOTE

完全可以仅将 Sanctum 用于 API 令牌认证或仅用于 SPA 认证。使用 Sanctum 并不意味着你必须使用它提供的两个功能.

安装

你可以通过 install:api Artisan 命令安装 Laravel Sanctum：

php artisan install:api

接下来，如果你计划使用 Sanctum 来认证 SPA，请参阅本文档的 SPA 认证 部分.

配置

覆盖默认模型

虽然通常不需要，但你可以自由扩展 Sanctum 内部使用的 PersonalAccessToken 模型：

use Laravel\Sanctum\PersonalAccessToken as SanctumPersonalAccessToken;

class PersonalAccessToken extends SanctumPersonalAccessToken
{
    // ...
}

然后，你可以通过 Sanctum 提供的 usePersonalAccessTokenModel 方法指示 Sanctum 使用你的自定义模型。通常，你应该在应用程序的 AppServiceProvider 文件的 boot 方法中调用此方法：

use App\Models\Sanctum\PersonalAccessToken;
use Laravel\Sanctum\Sanctum;

/**
 * 引导任何应用程序服务。
 */
public function boot(): void
{
    Sanctum::usePersonalAccessTokenModel(PersonalAccessToken::class);
}

API 令牌认证

NOTE

你不应该使用 API 令牌来认证你自己的第一方 SPA。相反，请使用 Sanctum 的内置 SPA 认证功能.

颁发 API 令牌

Sanctum 允许你颁发 API 令牌/个人访问令牌，这些令牌可用于认证对应用程序的 API 请求。使用 API 令牌发出请求时，令牌应作为 Bearer 令牌包含在 Authorization 头中.

要开始为用户颁发令牌，你的 User 模型应使用 Laravel\Sanctum\HasApiTokens trait：

use Laravel\Sanctum\HasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, HasFactory, Notifiable;
}

要颁发令牌，你可以使用 createToken 方法。createToken 方法返回一个 Laravel\Sanctum\NewAccessToken 实例。API 令牌在存储到数据库之前使用 SHA-256 哈希进行散列，但你可以使用 NewAccessToken 实例的 plainTextToken 属性访问令牌的纯文本值。你应该在令牌创建后立即向用户显示此值：

use Illuminate\Http\Request;

Route::post('/tokens/create', function (Request $request) {
    $token = $request->user()->createToken($request->token_name);

    return ['token' => $token->plainTextToken];
});

你可以使用 HasApiTokens trait 提供的 tokens Eloquent 关联来访问用户的所有令牌：

foreach ($user->tokens as $token) {
    // ...
}

令牌能力

Sanctum 允许你为令牌分配「能力」。能力的作用类似于 OAuth 的「作用域」。你可以将字符串能力数组作为第二个参数传递给 createToken 方法：

return $user->createToken('token-name', ['server:update'])->plainTextToken;

处理由 Sanctum 认证的传入请求时，你可以使用 tokenCan 或 tokenCant 方法确定令牌是否具有给定的能力：

if ($user->tokenCan('server:update')) {
    // ...
}

if ($user->tokenCant('server:update')) {
    // ...
}

令牌能力中间件

Sanctum 还包含两个中间件，可用于验证传入请求是否使用已授予给定能力的令牌进行认证。首先，在应用程序的 bootstrap/app.php 文件中定义以下中间件别名：

use Laravel\Sanctum\Http\Middleware\CheckAbilities;
use Laravel\Sanctum\Http\Middleware\CheckForAnyAbility;

->withMiddleware(function (Middleware $middleware): void {
    $middleware->alias([
        'abilities' => CheckAbilities::class,
        'ability' => CheckForAnyAbility::class,
    ]);
})

abilities 中间件可以分配给路由，以验证传入请求的令牌具有所有列出的能力：

Route::get('/orders', function () {
    // 令牌同时具有 "check-status" 和 "place-orders" 能力...
})->middleware(['auth:sanctum', 'abilities:check-status,place-orders']);

ability 中间件可以分配给路由，以验证传入请求的令牌具有至少一个列出的能力：

Route::get('/orders', function () {
    // 令牌具有 "check-status" 或 "place-orders" 能力...
})->middleware(['auth:sanctum', 'ability:check-status,place-orders']);

第一方 UI 发起的请求

为方便起见，如果传入的已认证请求来自你的第一方 SPA 且你正在使用 Sanctum 的内置 SPA 认证，tokenCan 方法将始终返回 true.

但是，这并不一定意味着你的应用程序必须允许用户执行该操作。通常，你的应用程序的授权策略将确定令牌是否已被授予执行能力的权限，并检查用户实例本身是否应该被允许执行该操作。

例如，如果我们想象一个管理服务器的应用程序，这可能意味着检查令牌是否被授权更新服务器并且服务器属于该用户：

return $request->user()->id === $server->user_id &&
       $request->user()->tokenCan('server:update')

起初，允许 tokenCan 方法被调用并始终为第一方 UI 发起的请求返回 true 可能看起来很奇怪；但是，能够始终假设 API 令牌可用并可通过 tokenCan 方法检查是很方便的。通过采用这种方法，你可以始终在应用程序的授权策略中调用 tokenCan 方法，而无需担心请求是从应用程序的 UI 触发的还是由 API 的第三方消费者发起的。

保护路由

要保护路由以确保所有传入请求必须经过认证，你应该将 sanctum 认证守卫附加到 routes/web.php 和 routes/api.php 路由文件中的受保护路由。此守卫将确保传入请求是有状态的、cookie 认证的请求，或者如果请求来自第三方则包含有效的 API 令牌头.

你可能想知道为什么我们建议使用 sanctum 守卫来认证应用程序 routes/web.php 文件中的路由。请记住，Sanctum 会首先尝试使用 Laravel 的典型会话认证 cookie 来认证传入请求。如果该 cookie 不存在，Sanctum 将尝试使用请求的 Authorization 头中的令牌来认证请求。此外，使用 Sanctum 认证所有请求确保我们可以始终在当前已认证的用户实例上调用 tokenCan 方法：

use Illuminate\Http\Request;

Route::get('/user', function (Request $request) {
    return $request->user();
})->middleware('auth:sanctum');

撤销令牌

你可以通过使用 Laravel\Sanctum\HasApiTokens trait 提供的 tokens 关联从数据库中删除令牌来「撤销」令牌：

// 撤销所有令牌...
$user->tokens()->delete();

// 撤销用于认证当前请求的令牌...
$request->user()->currentAccessToken()->delete();

// 撤销特定令牌...
$user->tokens()->where('id', $tokenId)->delete();

令牌过期

默认情况下，Sanctum 令牌永不过期，只能通过撤销令牌来使其失效。但是，如果你想为应用程序的 API 令牌配置过期时间，可以通过应用程序的 sanctum 配置文件中定义的 expiration 配置选项来实现。此配置选项定义了颁发的令牌被视为过期之前的分钟数：

'expiration' => 525600,

如果你想独立指定每个令牌的过期时间，可以将过期时间作为第三个参数提供给 createToken 方法：

return $user->createToken(
    'token-name', ['*'], now()->plus(weeks: 1)
)->plainTextToken;

如果你为应用程序配置了令牌过期时间，你可能还希望调度一个任务来清理应用程序中过期的令牌。值得庆幸的是，Sanctum 包含一个 sanctum:prune-expired Artisan 命令，你可以使用它来完成此操作。例如，你可以配置一个计划任务来删除所有已过期至少 24 小时的过期令牌数据库记录：

use Illuminate\Support\Facades\Schedule;

Schedule::command('sanctum:prune-expired --hours=24')->daily();

SPA 认证

Sanctum 还提供了一种简单的方法来认证需要与 Laravel 驱动的 API 通信的单页应用程序（SPA）。这些 SPA 可能与你的 Laravel 应用程序位于同一仓库中，也可能是一个完全独立的仓库。

对于此功能，Sanctum 不使用任何类型的令牌。相反，Sanctum 使用 Laravel 内置的基于 cookie 的会话认证服务。这种认证方法提供了 CSRF 保护、会话认证以及防止通过 XSS 泄露认证凭据的好处。

WARNING

为了进行认证，你的 SPA 和 API 必须共享相同的顶级域名。但是，它们可以放在不同的子域上。此外，你应该确保在请求中发送 Accept: application/json 头以及 Referer 或 Origin 头.

配置

配置第一方域名

首先，你应该配置你的 SPA 将从哪些域名发出请求。你可以使用 sanctum 配置文件中的 stateful 配置选项来配置这些域名。此配置设置确定在向你的 API 发出请求时哪些域名将使用 Laravel 会话 cookie 维护「有状态」认证.

为了帮助你设置第一方有状态域名，Sanctum 提供了两个辅助函数，你可以在配置中使用它们。首先，Sanctum::currentApplicationUrlWithPort() 将从 APP_URL 环境变量返回当前应用程序 URL，Sanctum::currentRequestHost() 将在有状态域名列表中注入一个占位符，在运行时，该占位符将被当前请求的主机替换，以便所有具有相同域名的请求被视为有状态的.

WARNING

如果你通过包含端口的 URL（127.0.0.1:8000）访问应用程序，你应该确保在域名中包含端口号.

Sanctum 中间件

接下来，你应该指示 Laravel，来自 SPA 的传入请求可以使用 Laravel 的会话 cookie 进行认证，同时仍然允许来自第三方或移动应用程序的请求使用 API 令牌进行认证。这可以通过在应用程序的 bootstrap/app.php 文件中调用 statefulApi 中间件方法来轻松完成：

->withMiddleware(function (Middleware $middleware): void {
    $middleware->statefulApi();
})

CORS 和 Cookies

如果你在从运行在单独子域上的 SPA 进行应用程序认证时遇到问题，你可能错误配置了 CORS（跨源资源共享）或会话 cookie 设置.

config/cors.php 配置文件默认不会发布。如果你需要自定义 Laravel 的 CORS 选项，你应该使用 config:publish Artisan 命令发布完整的 cors 配置文件：

php artisan config:publish cors

接下来，你应该确保应用程序的 CORS 配置返回值为 True 的 Access-Control-Allow-Credentials 头。这可以通过将应用程序的 config/cors.php 配置文件中的 supports_credentials 选项设置为 true 来完成.

此外，你应该在应用程序的全局 axios 实例上启用 withCredentials 和 withXSRFToken 选项。通常，这应该在 resources/js/bootstrap.js 文件中执行。如果你没有使用 Axios 从前端发出 HTTP 请求，你应该在自己的 HTTP 客户端上执行等效配置：

axios.defaults.withCredentials = true;
axios.defaults.withXSRFToken = true;

最后，你应该确保应用程序的会话 cookie 域名配置支持根域名的任何子域名。你可以通过在应用程序的 config/session.php 配置文件中用前导 . 作为域名前缀来完成此操作：

'domain' => '.domain.com',

认证

CSRF 保护

要认证你的 SPA，SPA 的「登录」页面应首先向 /sanctum/csrf-cookie 端点发出请求，以初始化应用程序的 CSRF 保护：

axios.get('/sanctum/csrf-cookie').then(response => {
    // 登录...
});

在此请求期间，Laravel 将设置一个包含当前 CSRF 令牌的 XSRF-TOKEN cookie。然后，此令牌应进行 URL 解码并在后续请求的 X-XSRF-TOKEN 头中传递，某些 HTTP 客户端库（如 Axios 和 Angular HttpClient）会自动为你执行此操作。如果你的 JavaScript HTTP 库没有为你设置该值，你将需要手动设置 X-XSRF-TOKEN 头以匹配此路由设置的 XSRF-TOKEN cookie 的 URL 解码值.

登录

一旦 CSRF 保护已初始化，你应该向 Laravel 应用程序的 /login 路由发出 POST 请求。此 /login 路由可以手动实现或使用无头认证包（如 Laravel Fortify）。

如果登录请求成功，你将被认证，后续对应用程序路由的请求将通过 Laravel 应用程序发出给客户端的会话 cookie 自动认证。此外，由于你的应用程序已经向 /sanctum/csrf-cookie 路由发出了请求，只要你的 JavaScript HTTP 客户端在 X-XSRF-TOKEN 头中发送 XSRF-TOKEN cookie 的值，后续请求应自动接收 CSRF 保护.

当然，如果用户的会话由于缺乏活动而过期，后续对 Laravel 应用程序的请求可能会收到 401 或 419 HTTP 错误响应。在这种情况下，你应该将用户重定向到 SPA 的登录页面.

WARNING

你可以自由编写自己的 /login 端点；但是，你应该确保它使用标准的、Laravel 提供的基于会话的认证服务来认证用户。通常，这意味着使用 web 认证守卫.

保护路由

要保护路由以确保所有传入请求必须经过认证，你应该将 sanctum 认证守卫附加到 routes/api.php 文件中的 API 路由。此守卫将确保传入请求是来自 SPA 的有状态已认证请求，或者如果请求来自第三方则包含有效的 API 令牌头：

use Illuminate\Http\Request;

Route::get('/user', function (Request $request) {
    return $request->user();
})->middleware('auth:sanctum');

授权私有广播频道

如果你的 SPA 需要与私有/存在广播频道进行认证，你应该从应用程序 bootstrap/app.php 文件中的 withRouting 方法中删除 channels 条目。相反，你应该调用 withBroadcasting 方法，以便为应用程序的广播路由指定正确的中间件：

return Application::configure(basePath: dirname(__DIR__))
    ->withRouting(
        web: __DIR__.'/../routes/web.php',
        // ...
    )
    ->withBroadcasting(
        __DIR__.'/../routes/channels.php',
        ['prefix' => 'api', 'middleware' => ['api', 'auth:sanctum']],
    )

接下来，为了使 Pusher 的授权请求成功，你需要在初始化 Laravel Echo 时提供自定义的 Pusher authorizer。这允许你的应用程序配置 Pusher 使用为跨域请求正确配置的 axios 实例：

window.Echo = new Echo({
    broadcaster: "pusher",
    cluster: import.meta.env.VITE_PUSHER_APP_CLUSTER,
    encrypted: true,
    key: import.meta.env.VITE_PUSHER_APP_KEY,
    authorizer: (channel, options) => {
        return {
            authorize: (socketId, callback) => {
                axios.post('/api/broadcasting/auth', {
                    socket_id: socketId,
                    channel_name: channel.name
                })
                .then(response => {
                    callback(false, response.data);
                })
                .catch(error => {
                    callback(true, error);
                });
            }
        };
    },
})

移动应用程序认证

你也可以使用 Sanctum 令牌来认证移动应用程序对 API 的请求。认证移动应用程序请求的过程与认证第三方 API 请求类似；但是，在颁发 API 令牌的方式上有一些小差异.

颁发 API 令牌

首先，创建一个接受用户的电子邮件/用户名、密码和设备名称的路由，然后将这些凭据交换为新的 Sanctum 令牌。提供给此端点的「设备名称」仅用于信息目的，可以是你希望的任何值。通常，设备名称值应该是用户可以识别的名称，例如「Nuno's iPhone 17」.

通常，你将从移动应用程序的「登录」页面向令牌端点发出请求。端点将返回纯文本 API 令牌，然后可以将其存储在移动设备上并用于发出额外的 API 请求：

use App\Models\User;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
use Illuminate\Validation\ValidationException;

Route::post('/sanctum/token', function (Request $request) {
    $request->validate([
        'email' => 'required|email',
        'password' => 'required',
        'device_name' => 'required',
    ]);

    $user = User::where('email', $request->email)->first();

    if (! $user || ! Hash::check($request->password, $user->password)) {
        throw ValidationException::withMessages([
            'email' => ['The provided credentials are incorrect.'],
        ]);
    }

    return $user->createToken($request->device_name)->plainTextToken;
});

当移动应用程序使用令牌向你的应用程序发出 API 请求时，它应该在 Authorization 头中将令牌作为 Bearer 令牌传递.

NOTE

为移动应用程序颁发令牌时，你也可以自由指定令牌能力.

保护路由

如前所述，你可以通过将 sanctum 认证守卫附加到路由来保护路由，以确保所有传入请求必须经过认证：

Route::get('/user', function (Request $request) {
    return $request->user();
})->middleware('auth:sanctum');

撤销令牌

要允许用户撤销颁发给移动设备的 API 令牌，你可以在 Web 应用程序 UI 的「帐户设置」部分中按名称列出它们，并附带一个「撤销」按钮。当用户点击「撤销」按钮时，你可以从数据库中删除该令牌。请记住，你可以通过 Laravel\Sanctum\HasApiTokens trait 提供的 tokens 关联访问用户的 API 令牌：

// 撤销所有令牌...
$user->tokens()->delete();

// 撤销特定令牌...
$user->tokens()->where('id', $tokenId)->delete();

测试

在测试期间，可以使用 Sanctum::actingAs 方法来认证用户并指定应授予其令牌的能力：

Pest

use App\Models\User;
use Laravel\Sanctum\Sanctum;

test('task list can be retrieved', function () {
    Sanctum::actingAs(
        User::factory()->create(),
        ['view-tasks']
    );

    $response = $this->get('/api/task');

    $response->assertOk();
});

PHPUnit

use App\Models\User;
use Laravel\Sanctum\Sanctum;

public function test_task_list_can_be_retrieved(): void
{
    Sanctum::actingAs(
        User::factory()->create(),
        ['view-tasks']
    );

    $response = $this->get('/api/task');

    $response->assertOk();
}

如果你想授予令牌所有能力，你应该在提供给 actingAs 方法的能力列表中包含 *：

Sanctum::actingAs(
    User::factory()->create(),
    ['*']
);