Laravel Passport 实现 OAuth2 认证需四步:1. 安装并运行 migrate 和 passport:install;2. 在 User 模型引入 HasApiTokens,AuthServiceProvider 中调用 Passport::routes() 并设 token 过期时间;3. 配置 auth.php 中 api guard 为 passport 驱动;4. 通过密码授权、授权码模式或个人令牌获取 access_token。
在 Laravel 中使用 Passport 实现 OAuth2 认证,核心是把应用变成一个 OAuth2 授权服务器,为前端(如 Vue SPA)、第三方客户端或移动 App 提供安全的 API 访问令牌。它不是简单装个包就能用,需要按步骤配置模型、数据库、中间件和路由。下面是以 Laravel 10/11 为基础的完整、可落地的操作流程。
1. 安装与基础初始化
确保已安装 Laravel 并配置好数据库连接。执行以下命令:
- composer require laravel/passport
-
php artisan migrate —— 创建 Passport 所需的 5 张表(如
oauth_clients,oauth_access_tokens) - php artisan passport:install —— 生成加密密钥,并创建一个「个人访问客户端」和一个「密码授权客户端」
运行后会输出两组 ID 和 secret(请保存好,尤其是密码客户端的 client_id 和 client_secret,后续请求 token 时要用)。
2. 配置 User 模型与 AuthServiceProvider
让 User 模型支持 Passport 的 token 管理:
- 在
app/Models/User.php中引入HasApiTokenstrait:
use Laravel\Passport\HasApiTokens;
class User extends Authenticatable { use HasApiTokens; ... } - 在
app/Providers/AuthServiceProvider.php的boot()方法中添加:
Passport::routes(); —— 自动注册 /oauth/token、/oauth/authorize 等路由 - 可选但推荐:设置 token 过期时间(例如 1 小时):
Passport::tokensExpireIn(now()->addHour());
Passport::refreshTokensExpireIn(now()->addDays(30));
3. 配置 API 认证守卫与中间件
打开 config/auth.php,确认 guards.api 使用的是 passport 驱动:
'driver' => 'passport',
'provider' => 'users',
],
这样所有带 auth:api 中间件的路由,都会自动校验 Bearer Token 并关联到对应用户。
测试示例路由(routes/api.php):
return $request->user();
});
4. 获取 Access Token 的三种常用方式
① 密码授权(适合第一方 App,如你自己的 Vue 管理后台)
向 /oauth/token 发 POST 请求(Content-Type: application/x-www-form-urlencoded):
成功返回包含 access_token、expires_in、refresh_token 的 JSON。
② 授权码模式(适合第三方客户端或 Web 应用)
先跳转到 /oauth/authorize?client_id=xxx&redirect_uri=https://xxx.com/callback&response_type=code&scope=*,用户同意后重定向回 callback 并附带 code;再用 code 向 /oauth/token 换取 access_token。
③ 个人访问令牌(开发调试用)
调用 $user->createToken('token-name')->accessToken,返回长期有效的 token(不推荐用于生产环境,无过期、不可撤销)。
基本上就这些。关键点在于:数据库迁移要成功、Passport::routes() 不能漏、API guard 必须设为 passport、获取 token 时 client credentials 要匹配。只要每步验证清楚,OAuth2 在 Laravel 里并不复杂,只是细节容易忽略。
