Laravel Sanctum et Laravel Passport sont deux outils pour l'authentification de l'API, adaptés à différents scénarios. 1. Le sanctuaire est plus simple et plus léger, adapté aux spas, aux applications mobiles et à l'authentification de base des jetons; 2. Passport est un serveur OAuth2 complet qui prend en charge les jetons d'accès tiers, la révocation des jetons et le contr?le de la portée à grain fin. Si vous avez besoin de la fonction OAuth2, utilisez le passeport, sinon Sanctum est plus approprié. Le processus de paramètres des deux est différent: Sanctum doit installer, publier la configuration, exécuter la migration, mettre à jour le modèle utilisateur et ajouter du middleware et générer des jetons via la méthode CreateToken; Le passeport doit installer, exécuter la migration, exécuter la commande Passeport: installer, mettre à jour le modèle utilisateur et enregistrer les routes. Lors de la sélection, vous devez déterminer si les fonctionnalités avancées d'OAuth2 doivent être requises en fonction des exigences du projet.

Lorsque vous construisez des API avec Laravel, les sécuriser correctement est cruel, en particulier s'ils sont consommés par des applications mobiles ou des spas (applications à page). Deux outils courants pour cela sont Laravel Sanctum et Laravel Passport. Les deux peuvent gérer l'authentification, mais ils servent différents cas d'utilisation et ont des configurations distinctes.

Comprendre les différences: Sanctum vs passeport

Laravel Sanctum et Passport fournissent tous deux une authentification API, mais leur approche est très différente.

• Le sanctuaire est plus simple et léger. C'est idéal pour les spas, les applications mobiles et l'authentification simple basée sur des jetons.
• Passport est un serveur OAuth2 complet, ce qui signifie qu'il prend en charge des scénarios plus complexes comme les jetons d'accès tiers, la révocation des jetons et les étendues granulaires.

Si vous n'avez pas besoin de fonctionnalités OAuth2 complètes, Sanctum est généralement suffisant et plus facile à configurer.

Configuration du sanctum dans votre API Laravel

Pour sécuriser votre API Laravel avec Sanctum, suivez ces étapes:

1. Installer Sanctum : Run composer require laravel/sanctum et publier le fichier de configuration à l'aide de php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider" .

2. Exécuter les migrations : Sanctum a besoin d'une table pour stocker les jetons, alors exécutez php artisan migrate .

3. Mettez à jour le modèle d'utilisateur : ajoutez le trait HasApiTokens à votre modèle d'utilisateur ( use Laravel\Sanctum\HasApiTokens; ).

4. Configurez Middleware : dans app/Http/Kernel.php , assurez-vous que \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class est ajoutée au groupe api Middleware.

5. Créer des jetons : utilisez $user->createToken('token-name') pour générer des jetons. Renvoyez ce jeton au client après la connexion.

6. Protéger les itinéraires : utilisez la garde auth:sanctum pour protéger vos itinéraires API.

Une chose à noter: les jetons sanctuaires n'expirent pas par défaut. Si vous voulez des jetons de courte durée, activez cela dans la configuration et gérez la logique de rafra?chissement du c?té client.

Comment sécuriser les API en utilisant Laravel Passport

Si votre application a besoin de fonctionnalités OAuth2 (comme permettant aux services tiers de s'authentifier), le passeport est le meilleur choix.

Voici comment commencer:

• Installer Passeport : Run composer require laravel/passport , puis php artisan migrate .
• Installez les dépendances JavaScript : exécutez npm install passport passport-http-bearer si vous utilisez Node.js pour Frontend.
• Exécuter la commande d'installation du passeport : exécuter php artisan passport:install . Cela génère des clés de chiffrement et crée des clients OAuth nécessaires pour émettre des jetons.
• Mettre à jour le modèle utilisateur : ajoutez le trait HasApiTokens à partir du passeport et utilisez l'espace de noms Laravel\Passport\HasApiTokens .
• Ajoutez des routes Passport : dans votre AuthServiceProvider , appelez Passport::routes() à l'intérieur de la méthode boot .
• SET AUTH GURD : Dans config/auth.php , définissez le pilote api sur passport .

Avec Passport, vous pouvez émettre des jetons à longue durée de vie, les révoquer et même permettre aux utilisateurs d'accorder l'accès aux applications tierces. Cependant, cela ajoute également de la complexité - donc ne prenez cette voie que si vous avez vraiment besoin de ces fonctionnalités.

Choisir entre Sanctum et Passport

La décision revient vraiment aux exigences de votre projet.

• Allez avec sanctum si:

  • Vous construisez un spa ou une application mobile.
  • Vous n'avez pas besoin de fonctionnalités OAuth2 comme des lunettes ou un accès tiers.
  • La simplicité et la vitesse de configuration.

• Choisissez le passeport si:

  • Vous avez besoin d'un support complet OAuth2.
  • Vous prévoyez d'offrir une API aux développeurs tiers.
  • La gestion des jetons au-delà de Basic Auth est requise.

Les deux outils fonctionnent bien, mais les mélanger ne sont pas recommandés à moins que vous ayez une raison très spécifique de le faire.

Fondamentalement, commencez par Sanctum, sauf si vous savez que vous aurez besoin des capacités supplémentaires de Passport.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!