Laravel中Sanctum适合简单token认证和前后端分离项目,Passport支持完整OAuth2协议,适用于第三方授权;前者配置简单、安全性依赖手动管理,后者功能强大但复杂,适用于开放平台。
Laravel 提供了多种 API 认证方式,Passport 和 Sanctum 是其中最常用的两个扩展包。它们都能实现用户认证,但设计目标和适用场景有明显区别。选择哪一个,取决于你的项目需求是简单 token 认证,还是需要完整的 OAuth2 流程。
功能定位不同:OAuth2 vs 简易 Token
Passport 基于 OAuth2 协议,适合构建完整的第三方应用授权体系。它支持授权码、密码凭证、客户端凭证等多种 OAuth2 模式,适用于需要开放 API 给第三方或实现单点登录的系统。
Sanctum 更轻量,主打“简单 token 认证”和“SPA / 移动端 + Laravel”混合认证。它不实现完整 OAuth2,而是通过个人访问令牌(Personal Access Tokens)或基于 cookie 的会话保护来验证请求,更适合前后端分离但不需要复杂授权流程的项目。
使用场景对比
如果你的应用:
- 需要让第三方应用申请权限访问用户数据(如 GitHub OAuth 登录),选 Passport
- 是内部使用的 API,前端为 Vue/React 并通过 Laravel 渲染页面或独立部署,选 Sanctum
- 移动端 App 调用自家后端 API,且只需简单 token 验证,Sanctum 更合适
- 要求用户登录后生成长期有效的 API token,两者都支持,但 Sanctum 配置更简单
安装与配置复杂度
Passport 安装需要运行数据库迁移、生成加密密钥、配置授权服务器等步骤,还提供内置的授权页面。它依赖 Doctrine DBAL,并引入较多数据库表(如 oauth_access_tokens、oauth_clients 等)。
Sanctum 只需一个 migration 创建 personal_access_tokens 表,配置几行中间件即可使用。它天然兼容 Laravel 的 session 认证机制,对已有的登录逻辑改动小。
安全机制差异
Passport 使用 Bearer Token + OAuth2 刷新机制,支持 token 过期和撤销,适合高安全要求场景。token 可设置有效期,也可刷新续期。
Sanctum 的 token 默认长期有效(可手动过期),安全性依赖开发者管理。对于 SPA 或移动端,它通过 CSRF 保护 + HttpOnly Cookie 实现安全会话,避免 XSS 和 CSRF 攻击。
基本上就这些。如果只是做内部系统或小型项目 API 认证,Sanctum 足够用且更省事;若要打造开放平台或集成多个客户端并精细化控制权限,Passport 是更专业的选择。
