本文详解 laravel 与 vue 的协作模式,推荐采用前后端分离架构:laravel 专注提供 restful api 与业务逻辑,vue 负责完整前端渲染与交互,并通过 axios 调用 api;认证统一由 laravel 处理,前端路由与接口访问均需受控验证。
在现代 Web 开发中,Laravel 与 Vue 的组合已成为构建可维护、可扩展系统的主流选择。其最佳实践并非将 Vue 作为 Blade 模板中的零散组件(如 @viteReactRefresh 或内联
✅ 推荐架构:API 驱动的 SPA
- Laravel 角色:仅暴露 /api/* 路由,返回 JSON 数据;使用 api.php 定义无 CSRF 保护的无状态接口;通过 Sanctum 或 Passport 实现 Token 认证。
- Vue 角色:运行于独立域名或子路径(如 app.example.com),通过 Axios 请求 https://api.example.com/api/posts;使用路由守卫(router.beforeEach)拦截未登录访问;敏感操作前校验用户权限(如 can('delete', post))。
示例:Laravel API 认证中间件(api.php)
// routes/api.php
Route::middleware('auth:sanctum')->group(function () {
Route::get('/user', [UserController::class, 'profile']);
Route::apiResource('posts', PostController::class)->except(['create', 'edit']);
});Vue 中请求受保护接口(Pinia Store 示例)
// stores/post.js
import { defineStore } from 'pinia'
import axios from 'axios'
export const usePostStore = defineStore('post', {
actions: {
async fetchPosts() {
try {
const res = await axios.get('/api/posts', {
headers: { Authorization: `Bearer ${localStorage.getItem('token')}` }
})
this.posts = res.data
} catch (error) {
if (error.response?.status === 401) {
// 重定向至登录页或刷新 Token
useRouter().push('/login')
}
}
}
}
})? 关于认证与安全的关键说明
- 前端页面 ≠ 免登录访问:即使 Vue 应用静态资源(HTML/JS/CSS)可被直接加载,所有关键路由(如 /dashboard)必须在进入前检查本地 Token 并调用 /api/user 验证有效性——真正的权限控制永远发生在 Laravel 后端。
- API 层必须二次验证:Laravel 接口不可仅依赖前端传来的 user_id 或角色标识,须通过 Auth::user() 获取当前认证用户,并结合 Policy 或 Gate 执行细粒度授权(如 Gate::authorize('update', $post))。
- Token 存储建议:避免 localStorage(XSS 风险),优先使用 HttpOnly Cookie(配合 Sanctum 的 SPA 支持)或内存缓存 + 安全的 refresh 流程。
? 总结建议
- 初始项目即可采用分离架构,避免后期重构成本;
- 使用 Laravel Mix 或 Vite(推荐)构建 Vue 前端,输出至 public/dist/,由 Nginx/Apache 直接托管;
- 统一错误处理:Laravel 返回标准 JSON 错误(422 Unprocessable Entity + 字段错误),Vue 全局捕获并提示用户;
- 文档同步:用 Swagger(L5-Swagger)或 OpenAPI 规范定义 API,保障前后端契约清晰。
这种分工明确的架构,既发挥 Laravel 在安全与数据层的坚实能力,又释放 Vue 在交互体验与工程化上的灵活性,是团队协作与长期演进的可靠基础。
立即学习“前端免费学习笔记(深入)”;
