Laravel Fortify 是官方提供的无前端认证后端方案,剥离UI层,专为API驱动的前后端分离应用设计。它解决传统认证逻辑与Blade视图紧耦合问题,支持用户注册、登录、密码重置、邮箱验证及双因素认证,所有功能通过config/fortify.php配置启停。Fortify采用门面式设计,不自动注册路由,由开发者在web.php或api.php中手动定义路由并绑定闭包逻辑,实现职责分离。其作为底层认证引擎,被Laravel Jetstream用于构建完整全栈方案,适用于需精细控制认证流程的项目,可灵活扩展验证码、SSO、审计日志等自定义逻辑。
Laravel Fortify 是 Laravel 官方推出的一个**无前端认证后端方案**,它将用户注册、登录、密码重置、邮箱验证等常见认证逻辑从 Laravel 的默认实现中完全解耦出来,提供一个纯粹的 API 驱动的认证服务。它不附带任何视图或前端代码,专为使用 Laravel 作为后端 API、配合 Vue、React、Livewire 或其他前端技术栈的项目设计。
Fortify 解决了什么问题?
在 Fortify 出现之前,Laravel 的认证系统(通过 make:auth)紧密耦合了控制器和 Blade 视图。这种模式适合传统的服务器渲染应用,但无法满足现代前后端分离架构的需求。开发者不得不手动重构认证流程以支持 JSON API,过程繁琐且容易出错。
Fortify 的出现正是为了填补这一空白:它剥离了 UI 层,只保留认证的核心逻辑,让开发者可以自由选择如何暴露这些功能——通过 API 接口供前端调用,或结合 Livewire 构建动态页面。
核心功能一览
- 用户注册:开箱即用的用户创建流程,支持自定义验证规则与事件钩子。
- 用户登录:支持凭据验证、防暴力破解(限流)、失败响应定制。
- 双因素认证(2FA):集成 TOTP 协议,可启用基于时间的一次性密码。
- 密码重置:完整的“忘记密码”流程,包含邮件通知与令牌校验。
- 邮箱验证:强制用户验证邮箱后方可访问受保护资源。
所有功能均可通过配置文件 config/fortify.php 启用或关闭,灵活适配不同项目需求。
如何工作?路由与门面的设计哲学
Fortify 并不会自动注册路由。相反,它通过“门面式”注册机制,在运行时动态绑定每个功能对应的控制器动作。例如:
Fortify::loginUsing(fn ($request) => ...)这类闭包允许你完全控制登录逻辑,比如加入额外的身份检查、设备限制或第三方 OAuth 回调处理。
实际路由由开发者自行定义在 routes/web.php 或 routes/api.php 中,通常结合中间件(如 guest、auth)来控制访问权限。这种方式实现了真正的职责分离:Fortify 负责行为逻辑,应用负责接口暴露。
与 Laravel Jetstream 的关系
Jetstream 是构建在 Fortify 之上的全栈认证解决方案,它利用 Fortify 提供的底层能力,加上 Inertia 或 Livewire 实现预设的前端界面,并集成了团队协作、API 支持等功能。换句话说:
Fortify = 认证引擎;Jetstream = 带 UI 的完整认证套件
如果你只需要 API 认证或想完全自定义交互流程,直接使用 Fortify 更轻量、更可控。
自定义与扩展建议
- 修改用户模型字段:在注册或更新逻辑中添加手机号、昵称等,可通过重写 Fortify 的动作类实现。
- 添加验证码:在登录或注册时接入图形验证码,可在请求进入前通过中间件拦截处理。
- 对接 SSO 或 OAuth:结合 Laravel Socialite,在 Fortify 的登录流程外拓展第三方登录入口。
-
审计日志记录:监听 Fortify 触发的事件(如
Login、Registered),记录 IP、时间等信息用于安全分析。
基本上就这些。Fortify 不复杂,但它改变了 Laravel 认证的组织方式,使认证系统变得更模块化、更易于测试和维护。对于需要精细控制认证流程的项目来说,它是官方推荐且值得信赖的选择。
