要保護(hù)Laravel API 路由，需正確配置Passport 認(rèn)證中間件、發(fā)放訪問令牌並實(shí)現(xiàn)權(quán)限控制。 1. 安裝Laravel Passport 並運(yùn)行php artisan passport:install 生成密鑰；2. 在路由中使用auth:api 中間件驗(yàn)證Bearer Token；3. 創(chuàng)建登錄接口通過Password Grant 方式獲取token；4. 前端請求時在Authorization 頭攜帶token；5. 使用scope 實(shí)現(xiàn)細(xì)粒度權(quán)限控制，在創(chuàng)建token 時指定權(quán)限並在路由中檢查token 權(quán)限；6. 注意處理token 刷新、過期時間及跨域問題以確保安全性。

在使用Laravel 開發(fā)API 服務(wù)時，保護(hù)路由是非常關(guān)鍵的一環(huán)。 Laravel Passport 是一個基於OAuth2 的認(rèn)證系統(tǒng)，可以很好地幫助你實(shí)現(xiàn)對API 接口的訪問控制。要保護(hù)你的API 路由，核心在於正確配置Passport 的中間件和訪問令牌機(jī)制。

設(shè)置好Passport 認(rèn)證中間件

要在Laravel 中啟用Passport 認(rèn)證，首先需要確保已經(jīng)安裝並配置好了Laravel Passport。通常，你需要運(yùn)行php artisan passport:install來生成加密密鑰和客戶端信息。

接下來，在定義API 路由時，使用auth:api中間件來限制只有通過身份驗(yàn)證的用戶才能訪問：

 Route::middleware('auth:api')->get('/user', function (Request $request) {
    return $request->user();
});

這個中間件會自動檢查請求中的Bearer Token 是否有效，並根據(jù)情況返回401 未授權(quán)響應(yīng)。

正確發(fā)放和使用訪問令牌

Passport 提供了多種方式來獲取訪問令牌，比如密碼授權(quán)、客戶端憑證、授權(quán)碼等。最常見的是使用“密碼授權(quán)”（Password Grant）方式讓用戶登錄並獲取token。

你可以創(chuàng)建一個專門用於頒發(fā)token 的接口，例如：

 use Illuminate\Http\Request;
use Illuminate\Support\Facades\Http;

Route::post('/login', function (Request $request) {
    $request->validate([
        'email' => 'required|email',
        'password' => 'required',
    ]);

    $response = Http::asForm()->post('http://your-app-url/oauth/token', [
        'grant_type' => 'password',
        'client_id' => env('PASSPORT_CLIENT_ID'),
        'client_secret' => env('PASSPORT_CLIENT_SECRET'),
        'username' => $request->email,
        'password' => $request->password,
    ]);

    return $response->json();
});

前端拿到token 後，就可以在每次請求受保護(hù)的API 時帶上它，格式通常是：

 Authorization: Bearer eyJ0eXAiOiJKV1QiLC...

處理不同用戶的權(quán)限粒度（Scopes）

如果你的API 需要支持更細(xì)粒度的權(quán)限控制，比如只允許某些token 讀取數(shù)據(jù)而不能寫入，可以通過Scope（作用域）來實(shí)現(xiàn)。

在創(chuàng)建token 時指定scope：

 $token = $user->createToken('API Token', ['read-general', 'write-orders'])->accessToken;

然後在受保護(hù)的路由中添加對應(yīng)的scope 檢查：

 Route::middleware('auth:api')->get('/orders', function (Request $request) {
    if (!$request->user()->tokenCan('write-orders')) {
        return response()->json(['error' => 'Unauthorized'], 403);
    }

    // 返回訂單數(shù)據(jù)});

這樣就能確保每個token 只能執(zhí)行它被授權(quán)的操作。

基本上就這些。只要把中間件配好、token 發(fā)放流程走通，並根據(jù)需求加上scope 控制，用Laravel Passport 保護(hù)API 路由其實(shí)不復(fù)雜，但容易忽略細(xì)節(jié)，比如token 刷新、過期時間設(shè)置、跨域問題等，這些也需要在實(shí)際部署中留意。

以上是如何使用Laravel護(hù)照保護(hù)API路線？的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！