laravel Passport适用于需要完整OAuth2支持的第三方API授权场景,具备多种认证流程和精细权限控制;Sanctum则面向轻量级应用,适合SPA或移动端的简单Token认证,集成简便、数据库开销小。选择取决于是否需OAuth2复杂功能:对外开放用Passport,内部应用选Sanctum。
Laravel Passport 和 Sanctum 都是 Laravel 提供的 API 认证解决方案,但它们的设计目标和适用场景不同。选择哪个取决于你的项目需求。
Passport:完整的 OAuth2 服务器
Passport 基于 League OAuth2 server 实现,是一个功能齐全的 OAuth2 授权服务器。
适合场景:
- 你需要为第三方开发者提供 API 访问权限(开放平台)
- 应用需要支持多种授权流程,如“授权码”、“密码凭证”、“客户端凭证”等
- 需要精细的作用域(Scopes)和权限控制
- 前端和后端分离,并且可能有多个不同类型的客户端(Web、ios、android)
- 需要刷新令牌(Refresh Token)机制来延长会话
Passport 功能强大,但也更复杂。它会在数据库中创建多张表来管理客户端、访问令牌、刷新令牌等。如果你的项目确实需要 OAuth2 的完整特性,Passport 是理想选择。
Sanctum:轻量级 API 认证
Sanctum 的设计哲学是“简单”。它不完全遵循 OAuth2 规范,而是提供了一种更直接的方式来处理 API 认证。
适合场景:
- 为单页应用(SPA)或移动应用提供 API 认证
- 前后端同源或通过 CORS 进行通信
- 不需要复杂的 OAuth2 流程,只需要简单的 token 认证
- 希望快速集成,减少数据库负担和配置复杂度
- 同时需要支持传统 Web 登录和 API 认证
Sanctum 可以轻松地为用户生成简单的个人访问令牌(Personal access Tokens),也可以与 Laravel 的 session 认证结合,在同一个系统中处理 Web 请求和 API 请求。它的数据库结构非常简单,通常只需要一张 token 表。
核心区别总结
认证机制: Passport 使用标准的 OAuth2 流程,流程复杂但安全可控;Sanctum 使用简单的 Bearer Token 或 cookie + csrf 机制,更轻便快捷。
数据库开销: Passport 需要维护客户端、令牌、刷新令牌等多张表;Sanctum 结构简单,对数据库影响小。
使用复杂度: Passport 配置和使用相对复杂,学习成本高;Sanctum 开箱即用,集成迅速。
适用范围: 如果你在构建一个需要对外授权的 API 平台,选 Passport;如果只是为自己的 SPA 或移动端应用做认证,Sanctum 更合适。
基本上就这些,根据项目规模和需求来定,不复杂但容易忽略实际场景。