Laravel Passport基于OAuth2实现API认证,通过Composer安装并运行migrate和passport:install命令初始化;在auth配置中将API驱动设为passport,User模型引入HasApiTokens;AuthServiceProvider中调用Passport::routes()注册路由;支持密码、客户端凭证、授权码和个人访问令牌模式,可通过POST请求/oauth/token获取token,并在请求头中携带Bearer token进行认证;提供token的查询、撤销与刷新机制,配合auth:api中间件保护路由,且可自定义token过期时间,快速构建安全的API认证体系。
Laravel Passport 是 Laravel 提供的一套完整的 OAuth2 服务器实现,能够快速为 API 添加基于令牌的身份认证功能。它基于 League OAuth2 Server 构建,使用简单且功能强大,适合前后端分离项目或第三方应用接入。
安装与配置 Passport
要在 Laravel 项目中启用 Passport,首先通过 Composer 安装扩展包:
composer require laravel/passport
安装完成后,在 config/app.php 中注册服务提供者(Laravel 5.5+ 可自动发现,无需手动添加):
‘providers’ => [ LaravelPassportPassportServiceProvider::class,];
运行迁移命令创建 Passport 所需的数据表:
php artisan migrate
接着生成加密密钥和客户端凭据:
php artisan passport:install
该命令会创建用于生成访问令牌的私钥和加密密钥,并生成两个客户端:个人访问客户端和个人密码客户端。
启用 Passport 认证驱动
在 config/auth.php 中,将 API 认证驱动改为 passport:
‘guards’ => [ ‘api’ => [ ‘driver’ => ‘passport’, ‘provider’ => ‘users’, ],],
确保 User 模型实现了 LaravelPassportHasApiTokens trait,以便管理用户的令牌:
use LaravelPassportHasApiTokens;class User extends Authenticatable{ use HasApiTokens, Notifiable;}
配置授权路由
在 AuthServiceProvider 的 boot 方法中调用 Passport::routes() 来注册 Passport 的路由:
use LaravelPassportPassport;public function boot(){ $this->registerPolicies(); Passport::routes();}
这些路由包括令牌发放、刷新、撤销等接口,通常位于 /oauth/token、/oauth/authorize 等路径下。
支持的授权模式
Passport 支持多种 OAuth2 授权模式,常用的包括:
密码凭证模式(Password Grant):适用于第一方客户端(如移动端 App),直接使用用户名和密码获取 token。客户端凭证模式(Client Credentials):用于服务间通信,不涉及用户身份。授权码模式(Authorization Code):适用于 Web 应用,通过跳转授权页面获取 token。个人访问令牌(Personal Access Tokens):开发者手动创建,用于调试或长期使用的 token。
启用密码授权模式:
Medeo
AI视频生成工具
191 查看详情 Passport::enablePasswordGrant();
发放访问令牌
以密码模式为例,客户端请求 token 的 POST 数据如下:
POST /oauth/tokenContent-Type: application/json{ “grant_type”: “password”, “client_id”: “your_client_id”, “client_secret”: “your_client_secret”, “username”: “user@example.com”, “password”: “password”, “scope”: “”}
成功后返回 JSON 格式的 access_token 和 refresh_token:
{ “token_type”: “Bearer”, “expires_in”: 31536000, “access_token”: “eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni…”, “refresh_token”: “def502007c8…”}
后续请求需在 Header 中携带 token:
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni…
Token 管理与撤销
用户可通过 API 查看自己的授权应用和已发放的 token:
Auth::user()->tokens;
撤销某个 token:
$user->tokens()->where(‘id’, $tokenId)->delete();
也可以一次性撤销所有 token:
$user->tokens->each->delete();
Passport 还支持 Token 刷新机制,使用 refresh_token 获取新的 access_token。
保护 API 路由
使用 auth:api 中间件保护需要认证的路由:
Route::middleware(‘auth:api’)->get(‘/user’, function (Request $request) { return $request->user();});
也可在控制器构造函数中设置:
public function __construct(){ $this->middleware(‘auth:api’);}
自定义 Token 过期时间
默认情况下,Passport 的 token 有效期很长(一年)。可在 AuthServiceProvider 中自定义:
Passport::tokensExpireIn(now()->addDays(15));Passport::refreshTokensExpireIn(now()->addDays(30));Passport::personalAccessTokensExpireIn(now()->addMonths(6));基本上就这些。Passport 让 Laravel 的 API 认证变得非常方便,合理使用可以快速构建安全可靠的授权体系。
以上就是Laravel如何使用Passport实现OAuth2认证_Laravel Passport授权与Token管理的详细内容,更多请关注php中文网其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/863440.html
微信扫一扫 
支付宝扫一扫 
