信息发布→ 登录 注册 退出

Laravel如何使用Passport实现OAuth2认证_Laravel Passport授权与Token管理

发布时间:2025-11-23

点击量:
Laravel Passport基于OAuth2实现API认证,通过Composer安装并运行migrate和passport:install命令初始化;在auth配置中将API驱动设为passport,User模型引入HasApiTokens;AuthServiceProvider中调用Passport::routes()注册路由;支持密码、客户端凭证、授权码和个人访问令牌模式,可通过POST请求/oauth/token获取token,并在请求头中携带Bearer token进行认证;提供token的查询、撤销与刷新机制,配合auth:api中间件保护路由,且可自定义token过期时间,快速构建安全的API认证体系。

Laravel Passport 是 Laravel 提供的一套完整的 OAuth2 服务器实现,能够快速为 API 添加基于令牌的身份认证功能。它基于 League OAuth2 Server 构建,使用简单且功能强大,适合前后端分离项目或第三方应用接入。

安装与配置 Passport

要在 Laravel 项目中启用 Passport,首先通过 Composer 安装扩展包:

composer require laravel/passport

安装完成后,在 config/app.php 中注册服务提供者(Laravel 5.5+ 可自动发现,无需手动添加):

'providers' => [ Laravel\Passport\PassportServiceProvider::class,];

运行迁移命令创建 Passport 所需的数据表:

php artisan migrate

接着生成加密密钥和客户端凭据:

php artisan passport:install

该命令会创建用于生成访问令牌的私钥和加密密钥,并生成两个客户端:个人访问客户端和个人密码客户端。

启用 Passport 认证驱动

config/auth.php 中,将 API 认证驱动改为 passport

'guards' => [ 'api' => [ 'driver' => 'passport', 'provider' => 'users', ],],

确保 User 模型实现了 Laravel\Passport\HasApiTokens trait,以便管理用户的令牌:

use Laravel\Passport\HasApiTokens;class User extends Authenticatable{ use HasApiTokens, Notifiable;}

配置授权路由

AuthServiceProvider 的 boot 方法中调用 Passport::routes() 来注册 Passport 的路由:

use Laravel\Passport\Passport;public function boot(){ $this->registerPolicies(); Passport::routes();}

这些路由包括令牌发放、刷新、撤销等接口,通常位于 /oauth/token/oauth/authorize 等路径下。

支持的授权模式

Passport 支持多种 OAuth2 授权模式,常用的包括:

  • 密码凭证模式(Password Grant):适用于第一方客户端(如移动端 App),直接使用用户名和密码获取 token。
  • 客户端凭证模式(Client Credentials):用于服务间通信,不涉及用户身份。
  • 授权码模式(Authorization Code):适用于 Web 应用,通过跳转授权页面获取 token。
  • 个人访问令牌(Personal Access Tokens):开发者手动创建,用于调试或长期使用的 token。

启用密码授权模式:

Passport::enablePasswordGrant();

发放访问令牌

以密码模式为例,客户端请求 token 的 POST 数据如下:

POST /oauth/tokenContent-Type: application/json{ "grant_type": "password", "client_id": "your_client_id", "client_secret": "your_client_secret", "username": "user@example.com", "password": "password", "scope": ""}

成功后返回 JSON 格式的 access_token 和 refresh_token:

{ "token_type": "Bearer", "expires_in": 31536000, "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni...", "refresh_token": "def502007c8..."}

后续请求需在 Header 中携带 token:

Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1Ni...

Token 管理与撤销

用户可通过 API 查看自己的授权应用和已发放的 token:

Auth::user()->tokens;

撤销某个 token:

$user->tokens()->where('id', $tokenId)->delete();

也可以一次性撤销所有 token:

$user->tokens->each->delete();

Passport 还支持 Token 刷新机制,使用 refresh_token 获取新的 access_token。

保护 API 路由

使用 auth:api 中间件保护需要认证的路由:

Route::middleware('auth:api')->get('/user', function (Request $request) { return $request->user();});

也可在控制器构造函数中设置:

public function __construct(){ $this->middleware('auth:api');}

自定义 Token 过期时间

默认情况下,Passport 的 token 有效期很长(一年)。可在 AuthServiceProvider 中自定义:

Passport::tokensExpireIn(now()->addDays(15));Passport::refreshTokensExpireIn(now()->addDays(30));Passport::personalAccessTokensExpireIn(now()->addMonths(6)); 基本上就这些。Passport 让 Laravel 的 API 认证变得非常方便,合理使用可以快速构建安全可靠的授权体系。
标签:# red  # this  # function  # delete  # public  # class  # 接口  # Token  # require  # 构造函数  # 中间件  # php  # 路由  # ai  # 后端  # access  # app  # composer  # json  # js  # laravel  # word  

上一篇:Laravel如何处理API请求频率限制_Laravel A

下一篇:Laravel如何使用Livewire构建动态交互界面_La

返回
在线客服
服务热线

服务热线

4008888355

微信咨询
二维码
返回顶部
×二维码

截屏,微信识别二维码

打开微信

微信号已复制,请打开微信添加咨询详情!