要保護 Laravel API 路由，需正確配置 Passport 認(rèn)證中間件、發(fā)放訪問令牌并實現(xiàn)權(quán)限控制。1. 安裝 Laravel Passport 并運行 php artisan passport:install 生成密鑰；2. 在路由中使用 auth:api 中間件驗證 Bearer Token；3. 創(chuàng)建登錄接口通過 Password Grant 方式獲取 token；4. 前端請求時在 Authorization 頭攜帶 token；5. 使用 scope 實現(xiàn)細(xì)粒度權(quán)限控制，在創(chuàng)建 token 時指定權(quán)限并在路由中檢查 token 權(quán)限；6. 注意處理 token 刷新、過期時間及跨域問題以確保安全性。

在使用 Laravel 開發(fā) API 服務(wù)時，保護路由是非常關(guān)鍵的一環(huán)。Laravel Passport 是一個基于 OAuth2 的認(rèn)證系統(tǒng)，可以很好地幫助你實現(xiàn)對 API 接口的訪問控制。要保護你的 API 路由，核心在于正確配置 Passport 的中間件和訪問令牌機制。

設(shè)置好 Passport 認(rèn)證中間件

要在 Laravel 中啟用 Passport 認(rèn)證，首先需要確保已經(jīng)安裝并配置好了 Laravel Passport。通常，你需要運行 php artisan passport:install 來生成加密密鑰和客戶端信息。

接下來，在定義 API 路由時，使用 auth:api 中間件來限制只有通過身份驗證的用戶才能訪問：

Route::middleware('auth:api')->get('/user', function (Request $request) {
    return $request->user();
});

這個中間件會自動檢查請求中的 Bearer Token 是否有效，并根據(jù)情況返回 401 未授權(quán)響應(yīng)。

正確發(fā)放和使用訪問令牌

Passport 提供了多種方式來獲取訪問令牌，比如密碼授權(quán)、客戶端憑證、授權(quán)碼等。最常見的是使用“密碼授權(quán)”（Password Grant）方式讓用戶登錄并獲取 token。

你可以創(chuàng)建一個專門用于頒發(fā) token 的接口，例如：

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Http;

Route::post('/login', function (Request $request) {
    $request->validate([
        'email' => 'required|email',
        'password' => 'required',
    ]);

    $response = Http::asForm()->post('http://your-app-url/oauth/token', [
        'grant_type' => 'password',
        'client_id' => env('PASSPORT_CLIENT_ID'),
        'client_secret' => env('PASSPORT_CLIENT_SECRET'),
        'username' => $request->email,
        'password' => $request->password,
    ]);

    return $response->json();
});

前端拿到 token 后，就可以在每次請求受保護的 API 時帶上它，格式通常是：

Authorization: Bearer eyJ0eXAiOiJKV1QiLC...

處理不同用戶的權(quán)限粒度（Scopes）

如果你的 API 需要支持更細(xì)粒度的權(quán)限控制，比如只允許某些 token 讀取數(shù)據(jù)而不能寫入，可以通過 Scope（作用域）來實現(xiàn)。

在創(chuàng)建 token 時指定 scope：

$token = $user->createToken('API Token', ['read-general', 'write-orders'])->accessToken;

然后在受保護的路由中添加對應(yīng)的 scope 檢查：

Route::middleware('auth:api')->get('/orders', function (Request $request) {
    if (!$request->user()->tokenCan('write-orders')) {
        return response()->json(['error' => 'Unauthorized'], 403);
    }

    // 返回訂單數(shù)據(jù)
});

這樣就能確保每個 token 只能執(zhí)行它被授權(quán)的操作。

基本上就這些。只要把中間件配好、token 發(fā)放流程走通，并根據(jù)需求加上 scope 控制，用 Laravel Passport 保護 API 路由其實不復(fù)雜，但容易忽略細(xì)節(jié)，比如 token 刷新、過期時間設(shè)置、跨域問題等，這些也需要在實際部署中留意。

以上是如何使用Laravel護照保護API路線？的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！