Laravel Sanctum实现Token认证，通过安装配置、生成Token、前端携带Bearer Token请求、路由保护及注销删除Token完成安全验证。

在Laravel中实现与前端框架（如Vue、React、Angular等）的Token认证，通常使用API Token机制来保证用户身份的安全验证。最常见的方式是通过 Laravel Sanctum 或 Passport 来生成和管理Token。对于大多数前后端分离项目，Laravel Sanctum 是更轻量且合适的选择。

1. 使用 Laravel Sanctum 实现Token认证

Laravel Sanctum 为SPA（单页应用）、移动端应用以及简单API提供了简洁的API认证方案。它通过为用户发放多个API Token，并对每个Token设置作用范围（abilities）来控制权限。

首先，在Laravel项目中安装 Sanctum：

• 运行命令：composer require laravel/sanctum
• 发布配置文件和迁移：php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"
• 执行数据库迁移：php artisan migrate

确保 app/Http/Kernel.php 中已注册 Sanctum 中间件：

'api' => [
    \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
    'throttle:api',
    \Illuminate\Routing\Middleware\SubstituteBindings::class,
],

该中间件会处理跨域请求中的Cookie状态，支持无状态Token或基于Cookie的认证。

2. 用户登录并生成Token

当用户登录时，后端验证账号密码后，为其创建Token并返回给前端。

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

public function login(Request $request)
{
    $credentials = $request->only('email', 'password');

    if (!Auth::attempt($credentials)) {
        return response()->json(['message' => 'Invalid credentials'], 401);
    }

    $user = Auth::user();
    $token = $user->createToken('frontend-token')->plainTextToken;

    return response()->json([
        'access_token' => $token,
        'token_type' => 'Bearer',
        'user' => $user
    ]);
}

前端收到 access_token 后，应将其存储在 localStorage 或内存中，并在后续请求中携带至服务端。

3. 前端请求携带Token

前端每次请求API时，需在请求头中添加Token：

Authorization: Bearer 

axios.defaults.headers.common['Authorization'] = 'Bearer ' + token;

也可在每次请求时单独设置：

axios.get('/api/user', {
    headers: {
        'Authorization': 'Bearer ' + token
    }
});

4. 保护API路由

在 routes/api.php 中使用 auth:sanctum 中间件保护需要认证的接口：

use Illuminate\Http\Request;

Route::middleware('auth:sanctum')->group(function () {
    Route::get('/user', function (Request $request) {
        return $request->user();
    });

    Route::post('/logout', function (Request $request) {
        $request->user()->currentAccessToken()->delete();
        return ['message' => 'Logged out'];
    });
});

这样只有携带有效Token的请求才能访问这些接口。

5. 注销与删除Token

用户退出登录时，应删除当前使用的Token以增强安全性。

// 删除当前Token
$request->user()->currentAccessToken()->delete();

// 或删除所有Token
$request->user()->tokens()->delete();

前端同时清除本地存储的Token。

基本上就这些。Laravel Sanctum 提供了足够简单又安全的方式来实现前端Token认证，适合大多数前后端分离项目。只要前后端约定好Token传递方式，并妥善管理生命周期，就能实现稳定可靠的认证机制。