Laravel Sanctumは、SPA、モバイルアプリケーション、その他のシナリオに適した、単純なトークンメカニズムを介してAPIルーティングを保護(hù)します。インストールでは、ComposerがLaravel/Sanctumを必要とし、移行ファイルを公開した後に移行コマンドを?qū)g行する必要があります。ユーザーモデルは、トークン管理をサポートするためにhasapitokens機(jī)能を追加します。認(rèn)証ルートは、routes/api.phpでデフォルトで定義されているAuth：Sanctum Middlewareを使用して保護(hù)され、リクエストにAccept：Application/JSONヘッダーが含まれていることを確認(rèn)します。トークンを生成して、ログインエンドポイントを作成し、PlaintextTokenを返すためにCreateTokenメソッドを呼び出すことにより、ユーザー資格情報(bào)を確認(rèn)します。クライアントはトークンを保存し、リクエストヘッダーに承認(rèn)：bearer を運(yùn)びます。ログアウトするときにcurrentAccesToken（） - > delete（）を呼び出すと、現(xiàn)在のトークンが無効になります。クロスドメイン要求には、ソース、資格情報(bào)、および必要なヘッダー情報(bào)を許可するために、config/cors.phpが必要です。 SPAで使用する場(chǎng)合は、SurseFrontEndRequestSarestFulミドルウェアを有効にし、相同またはCSRFの問題を処理する必要があります。

Laravel Sanctum認(rèn)証を使用してRestful APIを構(gòu)築するとき、主なアイデアは、物事をシンプルでトークンベースに保ちながらAPIルートを保護(hù)することです。 Sanctumは、OAuthサーバーや複雑なセットアップを必要とせずに、SPA（シングルページアプリ）、モバイルアプリ、またはサードパーティサービスの認(rèn)証を処理する軽量な方法を提供します。

Laravel Sanctumのセットアップ

APIルートに飛び込む前に、Sanctumが適切にインストールされ、構(gòu)成されていることを確認(rèn)してください。 Composerを介してインストールすることから始めます。

作曲家にはLaravel/Sanctumが必要です

次に、構(gòu)成ファイルと移行ファイルを公開します。

 PHP Artisan Vendor：Publish -Provider = "Laravel \ Sanctum \ SanctumserviceProvider"

移行を?qū)g行します：

 PHPの職人が移行します

また、ユーザーモデルにHasApiTokens特性を追加する必要があります。

 laravel \ sanctum \ hasapitokensを使用します。

クラスユーザーはAuthenticAtableを拡張します
{
    通知可能なhasapitokensを使用します。
}

これにより、ユーザーはAPIトークンを生成および管理できます。

認(rèn)証されたAPIルートの作成

Laravelでは、Sanctumはミドルウェアを使用してルートを保護(hù)します。 auth:sanctumミドルウェアを保護(hù)する任意のルートに適用できます。

たとえば、 routes/api.phpファイルで：

ルート::ミドルウェア（ 'auth：sanctum'） - > get（ '/user'、function（request $ request）{
    $ request-> user（）を返します。
}）;

Sanctumは、カスタマイズしない限り、デフォルトで/apiプレフィックスを介してリクエストが來ることを期待しているため、ルートがapi.phpで定義されていることを確認(rèn)してください。

また、リクエストにAccept: application/jsonヘッダーを含めることを忘れないでください。そうしないと、Sanctumは予想どおりに応答しない場(chǎng)合があります。

APIトークンの生成と管理

ユーザーがアクセストークンを認(rèn)証して取得できるようにするには、トークンを発行するログインエンドポイントを作成します。これが基本的なフローです：

1. ユーザーから電子メールとパスワードを受け入れます。
2. 資格情報(bào)を認(rèn)証します。
3. トークンを作成して返します。

簡(jiǎn)単なコントローラー方法は次のとおりです。

パブリック関數(shù)ログイン（リクエスト$ request）
{
    $ credentials = $ request-> validate（[[
        「電子メール」=> '必須|メール'、
        「パスワード」=>「必須」、
    ]）;

    if（auth :: regide（$ credentials））{
        $ user = auth :: user（）;
        $ token = $ user-> createToken（ 'auth_token'） - > plaintexttoken;

        return Response（） - > json（['Access_token' => $ token]）;
    }

    return Response（） - > json（['error' => 'unauthorized']、401）;
}

クライアント側(cè)では、このトークンを安全に保存し、次のようにAuthorizationヘッダーに送信します。

承認(rèn)：bearer <your-token-here>

留意してください：

• トークンは、 personal_access_tokensテーブルの下のデータベースに保存されます。
• 必要に応じてトークンをスコープすることができますが、カスタムロジックを作成しない限り、Sanctumは箱からスコープをサポートしていません。
• ログアウトで常にトークンを無効にします：

 $ user-> currentAccessToken（） - > delete（）;

CORSおよびSPA認(rèn)証の取り扱い

Laravelバックエンドと通信する?yún)g一のページアプリケーションを構(gòu)築する場(chǎng)合は、適切なCORSヘッダーをセットアップする必要があります。 Laravelにはconfig/cors.phpに構(gòu)成ファイルが組み込まれています。

許可してください：

• 正しい起源
• 資格情報(bào)（ supports_credentialsをtrueに設(shè)定）
• Authorization 、 Content-Typeなどの適切なヘッダー。

Sanctumは、スパのCookieベースのセッション認(rèn)証もサポートしていますが、追加のセットアップが必要です。

• EnsureFrontendRequestsAreStatefulミドルウェアを使用します
• フロントエンドとバックエンドが同じドメインを共有していることを確認(rèn)してください（または適切なCORS CSRF処理があります）

この部分は、特にクロスドメインのCookieとCSRF保護(hù)を扱う場(chǎng)合は難しい場(chǎng)合があるため、最新のガイダンスについてはLaravelのドキュメントを再確認(rèn)してください。

それは基本的に、Laravel Sanctum Authenticationを使用してRestful APIをセットアップする方法です。フローを理解すると、それは簡(jiǎn)単ですが、ヘッダー、ミドルウェアの配置、CORSの設(shè)定などの小さな詳細(xì)を簡(jiǎn)単につまずくのは簡(jiǎn)単です。

以上がLaravel Sanctum Authenticationを使用して、Restful APIを構(gòu)築しますの詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語 Web サイトの他の関連記事を參照してください。