Sanctum 不生成 JWT，而是用加密字符串作 API 令牌，依赖会话或 Bearer Token 验证；Auth::user() 在 API 路由返回 null 主因是未启用 session 中间件或未正确配置 stateful 域名及 Cookie 传递。

Sanctum 不生成长期有效的 API 令牌，它依赖于「会话 + Tokenable 模型」的组合实现无状态请求验证；直接调用 createToken() 得到的是加密字符串（不是 JWT），且默认只在当前设备/浏览器有效。

为什么 Auth::user() 在 API 路由里返回 null？

这是最常见的误用起点：Sanctum 的默认行为不自动启用 session 中间件，而 auth:sanctum 中间件只负责从 Authorization: Bearer {token} 或 Cookie 中提取并验证 token —— 但若你没配对使用 stateful 域名或没发带 Cookie 的请求，它就退化为纯 token 验证，此时必须确保请求头含有效 token。

• 检查 config/sanctum.php 中的 stateful 是否包含你的前端域名（如 ['localhost:5173']）
• 确保前端发起请求时携带了 Cookie（credentials: 'include'），否则无法复用 session
• 非 stateful 场景下，必须手动在请求头中传入 Authorization: Bearer {token}
• sanctum 中间件不会自动登录用户，它只设置 Auth::guard('sanctum')->user()；别混用 auth:api 或自定义 guard

createToken() 返回的 token 怎么用？

这个方法返回的是 Sanctum\PersonalAccessToken 实例，其 plainTextToken 属性才是你要传给前端的明文 token。它本质是服务端生成的随机字符串，存于 personal_access_tokens 表，不加密 payload，也不过期（除非手动 revoke）。

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

public function login(Request $request)
{
    $credentials = $request->only('email', 'password');
    if (Auth::attempt($credentials)) {
        $user = Auth::user();
        // 注意：$token 是 PersonalAccessToken 实例，不是字符串
        $token = $user->createToken('api-token');
        return response()->json([
            'token' => $token->plainTextToken, // ← 必须取这个
            'user' => $user
        ]);
    }
    return response()->json(['error' => 'Unauthorized'], 401);
}

• 不要把整个 $token 对象 JSON 化返回，它含敏感字段（如 token 字段是哈希值）
• createToken() 第二个参数可传数组定义 abilities，如 ['read', 'write:posts']，后续可用 $user->tokenCan('write:posts') 校验
• 该 token 仅用于 API 请求（auth:sanctum），不能用于登录网页（不触发 session）

如何验证请求是否拥有某权限（abilities）？

Sanctum 的 abilities 是白名单机制，不是 role-based，每次验证都查数据库里的 abilities 字段。它不缓存、不解析 JWT claim，所以性能开销略高于纯 header 解析，但更可控。

// 在控制器中
if (! $request->user()->tokenCan('delete:comments')) {
    abort(403);
}

// 或在中间件里
if (! $request->user()->currentAccessToken()->can('edit:post')) {
    abort(403);
}

• abilities 区分大小写，且必须完全匹配（'read' ≠ 'Read'）
• tokenCan() 只对通过 auth:sanctum 认证的用户生效；未认证时 $request->user() 为 null，会报错
• 如果用了 withCookie 或 stateful 模式，$request->user()->currentAccessToken() 可能为 null（因为走的是 session，不是 token）

真正容易被忽略的是：Sanctum 的 token 和 session 是两条路径。你得明确当前请求走哪条——是单页应用用 Bearer token 调 API，还是混合模式下部分接口靠 Cookie 自动鉴权。混用却不校验来源，就会出现 Auth::user() 有时有、有时空的情况。

# php  # word  # laravel  # js  # 前端  # json  # cookie  # cad  # 浏览器  # access  # session  # ai  # 中间件  # NULL  # include 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel如何实现全文搜索_Laravel Scout集成Algolia或Meilisearch教程  Laravel模型事件有哪些_Laravel Model Event生命周期详解  手机钓鱼网站怎么制作视频,怎样拦截钓鱼网站。怎么办？  Laravel如何使用Guzzle调用外部接口_Laravel发起HTTP请求与JSON数据解析【详解】  如何用西部建站助手快速创建专业网站？  Laravel如何使用Contracts（契约）进行编程_Laravel契约接口与依赖反转  如何快速搭建虚拟主机网站？新手必看指南  Laravel如何使用withoutEvents方法临时禁用模型事件  如何在IIS中配置站点IP、端口及主机头？  网站建设保证美观性，需要考虑的几点问题！  用yum安装MySQLdb模块的步骤方法  如何快速启动建站代理加盟业务？  简历没回改：利用AI润色让你的文字更专业  百度输入法ai面板怎么关 百度输入法ai面板隐藏技巧  详解Nginx + Tomcat 反向代理 如何在高效的在一台服务器部署多个站点  Android Socket接口实现即时通讯实例代码  浏览器如何快速切换搜索引擎_在地址栏使用不同搜索引擎【搜索】  Laravel怎么进行数据库回滚_Laravel Migration数据库版本控制与回滚操作  免费视频制作网站,更新又快又好的免费电影网站？  在centOS 7安装mysql 5.7的详细教程  标题：Vue + Vuex 项目中正确使用 JWT 进行身份认证的实践指南  如何确保西部建站助手FTP传输的安全性？  Android实现代码画虚线边框背景效果  Python面向对象测试方法_mock解析【教程】  Win11怎么更改系统语言为中文_Windows11安装语言包并设为显示语言  如何在 Python 中将列表项按字母顺序编号（a.、b.、c. …）  Laravel如何连接多个数据库_Laravel多数据库连接配置与切换教程  Laravel DB事务怎么使用_Laravel数据库事务回滚操作  Laravel如何使用Socialite实现第三方登录？（微信/GitHub示例）  网站制作公司哪里好做,成都网站制作公司哪家做得比较好，更正规？  如何快速生成可下载的建站源码工具？  网站广告牌制作方法,街上的广告牌，横幅，用PS还是其他软件做的？  Win11搜索栏无法输入_解决Win11开始菜单搜索没反应问题【技巧】  海南网站制作公司有哪些,海口网是哪家的？  html5audio标签播放结束怎么触发事件_onended回调方法【教程】  Laravel怎么在Controller之外的地方验证数据  Linux系统运维自动化项目教程_Ansible批量管理实战  网站制作价目表怎么做,珍爱网婚介费用多少？  绝密ChatGPT指令：手把手教你生成HR无法拒绝的求职信  详解jQuery中的事件  郑州企业网站制作公司,郑州招聘网站有哪些？  南京网站制作费用,南京远驱官方网站？  个人网站制作流程图片大全,个人网站如何注销？  Laravel策略(Policy)如何控制权限_Laravel Gates与Policies实现用户授权  Laravel如何使用Eloquent进行子查询  Laravel的路由模型绑定怎么用_Laravel Route Model Binding简化控制器逻辑  JavaScript实现Fly Bird小游戏  Laravel中DTO是什么概念_在Laravel项目中使用数据传输对象(DTO)  合肥制作网站的公司有哪些,合肥聚美网络科技有限公司介绍？  Laravel如何升级到最新的版本_Laravel版本升级流程与兼容性处理