Laravel Sanctum

• 简介
  • 工作原理
• 安装
• 配置
  • 覆盖默认模型
• API 令牌认证
  • 发放 API 令牌
  • 令牌能力
  • 保护路由
  • 撤销令牌
  • 令牌过期
• SPA 认证
  • 配置
  • 认证
  • 保护路由
  • 授权私有广播频道
• 移动应用认证
  • 发放 API 令牌
  • 保护路由
  • 撤销令牌
• 测试

简介

Laravel Sanctum 为 SPA（单页应用程序）、移动应用程序和简单的基于令牌的 API 提供了一个轻量级的认证系统。Sanctum 允许应用程序的每个用户为其账户生成多个 API 令牌。这些令牌可以被授予能力/作用域，指定令牌允许执行的操作。

工作原理

Laravel Sanctum 旨在解决两个独立的问题。在深入了解库之前，让我们讨论一下每个问题。

API 令牌

首先，Sanctum 是一个简单的包，您可以使用它向用户发放 API 令牌，而无需 OAuth 的复杂性。此功能受 GitHub 和其他发放"个人访问令牌"的应用程序启发。例如，想象您的应用程序的"账户设置"有一个屏幕，用户可以在其中为其账户生成 API 令牌。您可以使用 Sanctum 来生成和管理这些令牌。这些令牌通常有很长的过期时间（数年），但用户可以随时手动撤销。

Laravel Sanctum 通过将用户 API 令牌存储在单个数据库表中并通过 Authorization 头（应包含有效的 API 令牌）验证传入的 HTTP 请求来提供此功能。

SPA 认证

其次，Sanctum 旨在提供一种简单的方法来认证需要与 Laravel 驱动的 API 通信的单页应用程序（SPA）。这些 SPA 可能存在于与您的 Laravel 应用程序相同的存储库中，或者可能是一个完全独立的存储库，例如使用 Next.js 或 Nuxt 创建的 SPA。

对于此功能，Sanctum 不使用任何类型的令牌。相反，Sanctum 使用 Laravel 内置的基于 cookie 的会话认证服务。通常，Sanctum 利用 Laravel 的 web 认证守卫来完成此操作。这提供了 CSRF 保护、会话认证的好处，以及防止通过 XSS 泄露认证凭据。

Sanctum 只会在传入请求来自您自己的 SPA 前端时尝试使用 cookie 进行认证。当 Sanctum 检查传入的 HTTP 请求时，它将首先检查认证 cookie，如果没有，Sanctum 将检查 Authorization 头以获取有效的 API 令牌。

NOTE

仅将 Sanctum 用于 API 令牌认证或仅用于 SPA 认证是完全没问题的。仅因为您使用 Sanctum 并不意味着您必须使用它提供的两个功能。

安装

您可以通过 install:api Artisan 命令安装 Laravel Sanctum：

php artisan install:api

接下来，如果您计划利用 Sanctum 来认证 SPA，请参阅本文档的 SPA 认证 部分。

配置

覆盖默认模型

虽然通常不需要，但您可以自由扩展 Sanctum 内部使用的 PersonalAccessToken 模型：

use Laravel\Sanctum\PersonalAccessToken as SanctumPersonalAccessToken;

class PersonalAccessToken extends SanctumPersonalAccessToken
{
    // ...
}

然后，您可以通过 Sanctum 提供的 usePersonalAccessTokenModel 方法指示 Sanctum 使用您的自定义模型。通常，您应该在应用程序的 AppServiceProvider 文件的 boot 方法中调用此方法：

use App\Models\Sanctum\PersonalAccessToken;
use Laravel\Sanctum\Sanctum;

/**
 * 引导任何应用程序服务。
 */
public function boot(): void
{
    Sanctum::usePersonalAccessTokenModel(PersonalAccessToken::class);
}

API 令牌认证

NOTE

您不应使用 API 令牌来认证您自己的第一方 SPA。相反，请使用 Sanctum 内置的 SPA 认证功能。

发放 API 令牌

Sanctum 允许您发放可用于认证对应用程序的 API 请求的 API 令牌/个人访问令牌。使用 API 令牌发出请求时，令牌应作为 Bearer 令牌包含在 Authorization 头中。

要开始为用户发放令牌，您的 User 模型应使用 Laravel\Sanctum\HasApiTokens trait：

use Laravel\Sanctum\HasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, HasFactory, Notifiable;
}

要发放令牌，可以使用 createToken 方法。createToken 方法返回一个 Laravel\Sanctum\NewAccessToken 实例。API 令牌在存储到数据库之前使用 SHA-256 哈希进行哈希处理，但您可以使用 NewAccessToken 实例的 plainTextToken 属性访问令牌的纯文本值。您应该在创建令牌后立即向用户显示此值：

use Illuminate\Http\Request;

Route::post('/tokens/create', function (Request $request) {
    $token = $request->user()->createToken($request->token_name);

    return ['token' => $token->plainTextToken];
});

您可以使用 HasApiTokens trait 提供的 tokens Eloquent 关系访问用户的所有令牌：

foreach ($user->tokens as $token) {
    // ...
}

令牌能力

Sanctum 允许您为令牌分配"能力"。能力的作用类似于 OAuth 的"作用域"。您可以将字符串能力数组作为第二个参数传递给 createToken 方法：

return $user->createToken('token-name', ['server:update'])->plainTextToken;

在处理由 Sanctum 认证的传入请求时，可以使用 tokenCan 或 tokenCant 方法确定令牌是否具有给定能力：

if ($user->tokenCan('server:update')) {
    // ...
}

if ($user->tokenCant('server:update')) {
    // ...
}

令牌能力中间件

Sanctum 还包括两个中间件，可用于验证传入请求是否已使用已被授予给定能力的令牌进行认证。首先，在应用程序的 bootstrap/app.php 文件中定义以下中间件别名：

use Laravel\Sanctum\Http\Middleware\CheckAbilities;
use Laravel\Sanctum\Http\Middleware\CheckForAnyAbility;

->withMiddleware(function (Middleware $middleware): void {
    $middleware->alias([
        'abilities' => CheckAbilities::class,
        'ability' => CheckForAnyAbility::class,
    ]);
})

abilities 中间件可以分配给路由，以验证传入请求的令牌是否具有所有列出的能力：

Route::get('/orders', function () {
    // 令牌具有"check-status"和"place-orders"能力...
})->middleware(['auth:sanctum', 'abilities:check-status,place-orders']);

ability 中间件可以分配给路由，以验证传入请求的令牌是否具有列出的能力中的至少一个：

Route::get('/orders', function () {
    // 令牌具有"check-status"或"place-orders"能力...
})->middleware(['auth:sanctum', 'ability:check-status,place-orders']);

第一方 UI 发起的请求

为方便起见，如果传入的认证请求来自您的第一方 SPA 并且您正在使用 Sanctum 内置的 SPA 认证，tokenCan 方法将始终返回 true。

但是，这并不一定意味着您的应用程序必须允许用户执行该操作。通常，您应用程序的授权策略将确定令牌是否已被授予执行能力的权限，并检查用户实例本身是否应被允许执行该操作。

例如，如果我们想象一个管理服务器的应用程序，这可能意味着检查令牌是否被授权更新服务器以及服务器是否属于该用户：

return $request->user()->id === $server->user_id &&
       $request->user()->tokenCan('server:update')

起初，允许为第一方 UI 发起的请求调用 tokenCan 方法并始终返回 true 可能看起来很奇怪；但是，能够始终假设 API 令牌可用并可以通过 tokenCan 方法检查是很方便的。通过采用这种方法，您可以在应用程序的授权策略中始终调用 tokenCan 方法，而不必担心请求是从应用程序的 UI 触发的还是由您的 API 的第三方消费者之一发起的。

保护路由

要保护路由以便所有传入请求都必须经过认证，您应该在 routes/web.php 和 routes/api.php 路由文件中将 sanctum 认证守卫附加到受保护的路由。此守卫将确保传入请求被认证为有状态的、基于 cookie 的认证请求，或者如果请求来自第三方，则包含有效的 API 令牌头。

您可能想知道为什么我们建议使用 sanctum 守卫认证 routes/web.php 文件中的路由。请记住，Sanctum 将首先尝试使用 Laravel 典型的会话认证 cookie 认证传入请求。如果该 cookie 不存在，Sanctum 将尝试使用请求 Authorization 头中的令牌认证请求。此外，使用 Sanctum 认证所有请求确保我们始终可以在当前认证的用户实例上调用 tokenCan 方法：

use Illuminate\Http\Request;

Route::get('/user', function (Request $request) {
    return $request->user();
})->middleware('auth:sanctum');

撤销令牌

您可以通过使用 Laravel\Sanctum\HasApiTokens trait 提供的 tokens 关系从数据库中删除令牌来"撤销"令牌：

// 撤销所有令牌...
$user->tokens()->delete();

// 撤销用于认证当前请求的令牌...
$request->user()->currentAccessToken()->delete();

// 撤销特定令牌...
$user->tokens()->where('id', $tokenId)->delete();

令牌过期

默认情况下，Sanctum 令牌永不过期，只能通过撤销令牌来使其失效。但是，如果您想为应用程序的 API 令牌配置过期时间，可以通过应用程序的 sanctum 配置文件中定义的 expiration 配置选项来完成。此配置选项定义发放的令牌被视为过期前的分钟数：

'expiration' => 525600,

如果您想独立指定每个令牌的过期时间，可以将过期时间作为 createToken 方法的第三个参数提供：

return $user->createToken(
    'token-name', ['*'], now()->plus(weeks: 1)
)->plainTextToken;

如果您为应用程序配置了令牌过期时间，您可能还希望调度任务来修剪应用程序的过期令牌。幸运的是，Sanctum 包含一个 sanctum:prune-expired Artisan 命令，您可以使用它来完成此操作。例如，您可以配置计划任务删除所有已过期至少 24 小时的过期令牌数据库记录：

use Illuminate\Support\Facades\Schedule;

Schedule::command('sanctum:prune-expired --hours=24')->daily();

SPA 认证

Sanctum 还旨在为需要与 Laravel 驱动的 API 通信的单页应用程序（SPA）提供一种简单的认证方法。这些 SPA 可能存在于与您的 Laravel 应用程序相同的存储库中，或者可能是一个完全独立的存储库。

对于此功能，Sanctum 不使用任何类型的令牌。相反，Sanctum 使用 Laravel 内置的基于 cookie 的会话认证服务。这种认证方法提供了 CSRF 保护、会话认证的好处，以及防止通过 XSS 泄露认证凭据。

WARNING

为了进行认证，您的 SPA 和 API 必须共享相同的顶级域。但是，它们可以放在不同的子域上。此外，您应确保在请求中发送 Accept: application/json 头以及 Referer 或 Origin 头。

配置

配置第一方域

首先，您应该配置 SPA 将从哪些域发出请求。您可以使用 sanctum 配置文件中的 stateful 配置选项配置这些域。此配置设置确定哪些域在向您的 API 发出请求时将使用 Laravel 会话 cookie 维护"有状态"认证。

为了帮助您设置第一方有状态域，Sanctum 提供了两个可以包含在配置中的辅助函数。首先，Sanctum::currentApplicationUrlWithPort() 将从 APP_URL 环境变量返回当前应用程序 URL，Sanctum::currentRequestHost() 将在有状态域列表中注入一个占位符，在运行时将被当前请求的主机替换，以便所有具有相同域的请求都被视为有状态。

WARNING

如果您通过包含端口的 URL（127.0.0.1:8000）访问应用程序，应确保在域中包含端口号。

Sanctum 中间件

接下来，您应该指示 Laravel 来自 SPA 的传入请求可以使用 Laravel 的会话 cookie 进行认证，同时仍允许来自第三方或移动应用程序的请求使用 API 令牌进行认证。这可以通过在应用程序的 bootstrap/app.php 文件中调用 statefulApi 中间件方法轻松实现：

->withMiddleware(function (Middleware $middleware): void {
    $middleware->statefulApi();
})

CORS 和 Cookie

如果您在从单独子域执行的 SPA 向应用程序认证时遇到问题，您可能错误配置了 CORS（跨源资源共享）或会话 cookie 设置。

默认情况下不发布 config/cors.php 配置文件。如果您需要自定义 Laravel 的 CORS 选项，应使用 config:publish Artisan 命令发布完整的 cors 配置文件：

php artisan config:publish cors

接下来，您应确保应用程序的 CORS 配置返回值为 True 的 Access-Control-Allow-Credentials 头。这可以通过将应用程序的 config/cors.php 配置文件中的 supports_credentials 选项设置为 true 来实现。

此外，您应该在应用程序的全局 axios 实例上启用 withCredentials 和 withXSRFToken 选项。通常，这应该在 resources/js/bootstrap.js 文件中执行。如果您不使用 Axios 从前端发出 HTTP 请求，您应该在自己的 HTTP 客户端上执行等效配置：

axios.defaults.withCredentials = true;
axios.defaults.withXSRFToken = true;

最后，您应确保应用程序的会话 cookie 域配置支持根域的任何子域。您可以通过在应用程序的 config/session.php 配置文件中的域前加上前导 . 来实现：

'domain' => '.domain.com',

认证

CSRF 保护

要认证您的 SPA，SPA 的"登录"页面应首先向 /sanctum/csrf-cookie 端点发出请求，以为应用程序初始化 CSRF 保护：

axios.get('/sanctum/csrf-cookie').then(response => {
    // 登录...
});

在此请求期间，Laravel 将设置一个包含当前 CSRF 令牌的 XSRF-TOKEN cookie。然后，此令牌应在后续请求中 URL 解码并在 X-XSRF-TOKEN 头中传递，某些 HTTP 客户端库（如 Axios 和 Angular HttpClient）会自动为您完成此操作。如果您的 JavaScript HTTP 库没有为您设置该值，您需要手动将 X-XSRF-TOKEN 头设置为与此路由设置的 XSRF-TOKEN cookie 的 URL 解码值匹配。

登录

CSRF 保护初始化后，您应该向 Laravel 应用程序的 /login 路由发出 POST 请求。此 /login 路由可以手动实现或使用无头认证包如 Laravel Fortify。

如果登录请求成功，您将被认证，后续对应用程序路由的请求将通过 Laravel 应用程序向您的客户端发出的会话 cookie 自动认证。此外，由于您的应用程序已向 /sanctum/csrf-cookie 路由发出请求，只要您的 JavaScript HTTP 客户端在 X-XSRF-TOKEN 头中发送 XSRF-TOKEN cookie 的值，后续请求应自动获得 CSRF 保护。

当然，如果您的用户会话由于缺乏活动而过期，对 Laravel 应用程序的后续请求可能会收到 401 或 419 HTTP 错误响应。在这种情况下，您应该将用户重定向到 SPA 的登录页面。

WARNING

您可以自由编写自己的 /login 端点；但是，您应确保它使用 Laravel 提供的标准、基于会话的认证服务对用户进行认证。通常，这意味着使用 web 认证守卫。

保护路由

要保护路由以便所有传入请求都必须经过认证，您应该在 routes/api.php 文件中将 sanctum 认证守卫附加到 API 路由。此守卫将确保传入请求被认证为来自 SPA 的有状态认证请求，或者如果请求来自第三方，则包含有效的 API 令牌头：

use Illuminate\Http\Request;

Route::get('/user', function (Request $request) {
    return $request->user();
})->middleware('auth:sanctum');

授权私有广播频道

移动应用认证

您也可以使用 Sanctum 令牌认证移动应用程序请求。移动应用程序请求流程与第三方 API 请求类似，但发放令牌的方式略有不同。

发放 API 令牌

首先，确定移动应用程序登录屏幕上用户应输入什么凭据。通常，移动应用程序通过电子邮件/用户名和密码向应用程序进行认证。一旦用户提供了他们的凭据，移动应用程序应向您的应用程序发出请求以获取令牌。

为移动应用程序发放令牌与为第三方发放令牌相同。您可以使用 createToken 方法发放令牌：

use App\Models\User;
use Illuminate\Http\Request;

Route::post('/tokens/create', function (Request $request) {
    $user = User::where('email', $request->email)->first();

    if (!$user || !Hash::check($request->password, $user->password)) {
        return response()->json(['message' => 'Invalid credentials'], 401);
    }

    $token = $user->createToken('mobile-app-token')->plainTextToken;

    return response()->json(['token' => $token]);
});

保护路由

与保护第三方 API 请求的方式相同，您可以使用 auth:sanctum 中间件保护移动应用程序路由：

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});

撤销令牌

移动应用程序用户可以随时撤销其令牌。撤销令牌的方法与第三方 API 请求相同：

// 撤销所有令牌...
$user->tokens()->delete();

// 撤销特定令牌...
$user->tokens()->where('id', $tokenId)->delete();

测试

在测试时，您可以使用 Sanctum::actingAs 方法模拟用户认证。此方法接受用户实例和可选的能力数组：

use Laravel\Sanctum\Sanctum;

public function test_task_list_can_be_retrieved(): void
{
    Sanctum::actingAs(
        User::factory()->create(),
        ['view-tasks']
    );

    $response = $this->get('/api/task');

    $response->assertOk();
}

如果您想向 actingAs 方法提供的能力列表授予所有能力，应包含 *：

Sanctum::actingAs(
    User::factory()->create(),
    ['*']
);