微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
最近更新
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > php框架 > Laravel > 正文

laravel Sanctum和Passport有什么区别_laravel Sanctum与Passport区别解析

冰火之心
发布: 2025-11-19 15:03:47
原创
936人浏览过
Laravel Sanctum轻量,适合SPA和移动应用,使用个人访问令牌;Passport支持OAuth2.0,适用于第三方授权和复杂权限控制。

laravel sanctum和passport有什么区别_laravel sanctum与passport区别解析

如果您正在为Laravel应用选择API认证方案,但对Sanctum和Passport的功能边界感到困惑,了解两者的核心差异至关重要。以下是关于Laravel Sanctum与Passport区别的详细解析。

本文运行环境:MacBook Pro,macOS Sonoma

一、核心设计目标不同

Laravel Sanctum旨在提供一个轻量级的认证系统,适用于单页面应用(SPA)、移动应用以及简单的令牌式API访问。它不实现完整的OAuth2.0协议,而是采用个人访问令牌(Personal Access Tokens)或基于会话的Cookie认证。

相比之下,Laravel Passport是一个功能完备的OAuth2.0服务器实现,适合需要第三方客户端授权的应用场景,例如开放平台或需要精细权限控制的多服务架构。

二、认证机制与流程差异

Sanctum的认证流程简单直接:用户登录后生成一个加密的纯文本令牌,前端在后续请求中通过Authorization头携带该令牌即可完成认证。对于SPA应用,Sanctum还能利用Laravel的CSRF保护机制进行基于会话的无状态认证。

1、用户通过标准登录接口提交凭证。

2、服务器验证成功后调用$user->createToken()方法生成令牌。

3、将返回的纯文本令牌(如 1|abc123...)发送给客户端保存。

4、客户端在每个API请求的Header中添加 Authorization: Bearer <token>

5、auth:sanctum中间件自动解析令牌并查询personal_access_tokens表以获取关联用户。

Passport则遵循标准的OAuth2.0流程,支持多种授权模式,包括密码授权、授权码模式、客户端凭证等。其认证过程涉及多个端点和更复杂的交互逻辑。

1、客户端需预先注册并获得client_idclient_secret

2、使用密码授权时,客户端向/oauth/token发起POST请求,附带用户凭证及客户端信息。

3、Passport验证所有信息后,返回一个JWT格式的access_token。

4、客户端在请求头中携带此JWT令牌进行API访问。

5、auth:passport中间件通过公钥验证JWT签名的有效性,并从中提取用户ID进行认证。

三、令牌存储与验证方式

Sanctum将令牌信息存储在数据库的personal_access_tokens表中,每次认证都需要查询数据库来验证令牌的有效性及其关联的用户和权限范围(abilities)。

怪兽智能全息舱
怪兽智能全息舱

专业的AI数字人平台,定制数字人专属IP

怪兽智能全息舱 9
查看详情 怪兽智能全息舱

1、安装Sanctum后执行迁移命令创建personal_access_tokens表。

2、该表记录了令牌ID、所属用户、令牌名称、哈希后的token值、权限数组、过期时间等信息。

3、认证时,从请求头提取原始令牌,分割出ID部分用于数据库查找,再比对哈希值。

Passport使用JWT作为访问令牌的载体,这是一种自包含的无状态令牌。虽然首次发放令牌时需要数据库操作,但后续的验证过程主要依赖于JWT的数字签名,无需每次都查询数据库。

1、Passport在安装时会生成RSA密钥对(oauth-private.keyoauth-public.key)。

2、颁发的access_token是一个经过私钥签名的JWT字符串。

3、验证时,使用公钥检查签名是否有效,并确认令牌未过期,从而完成认证。

四、适用场景对比

对于内部使用的API、单页应用或移动端应用,Sanctum是更合适的选择。它的配置简单,开箱即用,且性能开销较小。

1、在User模型中引入HasApiTokens trait。

2、在路由上应用auth:sanctum中间件。

3、通过php artisan migrate创建必要的数据表。

当您的应用需要支持第三方开发者接入,或者需要实现复杂的权限分级和授权流程时,Passport提供的OAuth2.0标准支持显得尤为重要。

1、通过composer require laravel/passport安装扩展包。

2、运行php artisan passport:install生成密钥和客户端。

3、在AuthServiceProvider中调用Passport::routes()注册认证路由。

以上就是laravel Sanctum和Passport有什么区别_laravel Sanctum与Passport区别解析的详细内容,更多请关注php中文网其它相关文章!

相关标签:
php laravel 前端 composer cookie access macbook mac ai 路由 php laravel composer 架构 中间件 csrf require Cookie Token 字符串 接口 public private macos 数据库 Access 开放平台

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:Laravel如何实现文件的上传、存储和下载 下一篇:没有了
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
laravel Sanctum和Passport有什么区别_laravel Sanctum与Passport区别解析 LaravelSanctum轻量,适合SPA和移动应用,使用个人访问令牌;Passport支持OAuth2.0,适用于第三方授权和复杂权限控制。
2025-11-19 15:03:47
936
Laravel如何实现文件的上传、存储和下载 答案:Laravel通过Flysystem实现文件上传、存储与下载。配置public磁盘并创建软链接后,使用store()处理上传,生成唯一文件名并按目录组织;通过Storage::url()获取访问路径;下载时用Storage::disk(‘public’)->download()返回文件,私有文件需权限校验后再输出,确保安全性和用户体验。
2025-11-19 14:57:06
469
Laravel如何获取上一次请求的URL和输入 使用url()->previous()或request()->header(‘referer’)获取上一页URL,结合withInput()和old()保留表单输入,需确保StartSession中间件启用。
2025-11-19 14:26:02
707
Laravel如何集成Socialite实现社交媒体登录 Laravel中集成Socialite可实现GitHub、Google等第三方登录,需安装包并配置服务提供者、环境变量及路由,创建控制器处理跳转与回调,用户表添加provider、provider_id等字段,授权后自动注册或登录。
2025-11-19 14:17:07
883
laravel怎么创建一个单例(Singleton)服务_laravel单例服务创建方法 通过服务容器的singleton方法可确保Laravel应用中服务全局唯一,适用于数据库连接等需统一管理的场景。1、使用artisan创建PaymentProcessor服务类并定义逻辑;2、在AppServiceProvider中用singleton绑定该类,保证每次解析返回同一实例;3、通过接口与实现分离,将PaymentInterface绑定到PaymentProcessor单例,提升解耦与可测试性;4、控制器中通过类型提示自动注入该服务;5、亦可使用instance方法手动注册已创建实例
2025-11-19 14:00:11
978
Laravel中的任务调度(Task Scheduling)如何设置定时任务 Laravel通过单一Cron入口触发调度器,自动执行app/Console/Kernel.php中定义的任务,如定时运行命令、脚本或闭包,并支持输出日志、条件控制和时间限制,简化了任务调度管理。
2025-11-19 12:38:03
406
laravel怎么实现一个支持多租户(multi-tenancy)的架构_laravel多租户架构实现方法 Laravel多租户实现以共享数据库+租户字段隔离为核心,通过在数据表添加tenant_id字段标识租户,使用Trait自动填充当前用户tenant_id,结合全局作用域自动限制查询范围,确保数据隔离;可选中间件解析子域名或路径识别租户,并动态切换数据库连接,适用于SaaS应用,结构清晰且易于维护。
2025-11-19 12:14:02
112
Laravel如何创建自定义的验证规则(Validation Rule) Laravel中创建自定义验证规则可通过Artisan命令生成Rule类,如phpartisanmake:ruleUppercase,生成的类需实现passes方法定义逻辑(如判断字符串是否全大写)和message方法返回错误信息;可在控制器验证中直接使用newUppercase;支持带参数的规则(如MinUppercase含最小长度),通过构造函数传参并在passes中校验;还可注册为全局规则,在AppServiceProvider中用Validator::extend添加自定义规则(如min
2025-11-19 11:11:02
954
Laravel队列系统如何配置和处理异步任务 Laravel队列通过异步处理耗时任务提升性能,需配置QUEUE_CONNECTION=redis等驱动,使用phpartisanmake:job创建任务类并实现handle()方法,分发任务用SendWelcomeEmail::dispatch($user),延迟执行可加delay(),运行phpartisanqueue:work启动监听器,生产环境配合Supervisor管理进程,失败任务通过phpartisanqueue:failed-table记录并用queue:retry重试,任务类中
2025-11-19 11:05:02
589
Laravel中的路由模型绑定是什么以及如何使用 Laravel路由模型绑定可自动将路由参数解析为Eloquent模型实例,避免手动查询。隐式绑定要求参数名与类型提示一致,Laravel自动按主键查找,未找到返回404;可通过重写getRouteKeyName方法或使用where约束自定义匹配字段;显式绑定在RouteServiceProvider中用Route::bind定义复杂逻辑,适用于多租户等场景,提升代码简洁性与安全性。
2025-11-19 10:01:59
111
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部