统一用户验证选 passport / Sanctum / JWTToken 那个一个好捏？

问答 / 1240 / 32 / 创建于 2年前

目前项目要改造用户模块，原来的用户登录验证每个段都是每个端的事，现在改造用户模块，想把APP用户登录验证、PC网页的用户登录验证放一起，统一处理，不再每个客户端一套，维护起来麻烦。后期还可能增加小程序，新的项目产品也是基于一套用户，选择用户认证的处理时有些纠结，passport / Sanctum / JWTToken 那个要好点捏
Sanctum 也符合现有项目整合用户验证的需求，网页和APP都能支持
passport 貌似以后扩展增加新产品开发用户中心貌似有很不错，现在使用感觉有些重
有些纠结，各位大佬指点一下，谢谢了

课程读者 20 声望

暂无个人描述~

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

《L02 从零构建论坛系统》

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

推荐文章：

更多推荐...

Laravel验证器最完整用法实例 31 / 14 |

工作小锦囊系列——如何实现一个车辆预定功能（下） 13 / 15 |

使用 Laravel 10 & Vue 3 开发了一个社区站，一起来玩下～ 17 / 39 |

历时一个月，《穿透Laravel》全书完成！ 88 / 25 |

[开源项目] 基于 laravel 开发的一个社区/社交小程序 23 / 47 |

Redis 实用小技巧——如何实现一个排行榜功能 24 / 17 |

lun1bz

见习助教 119 声望

最佳答案

Sanctum最简单，挺好用的

2年前评论

jackven （楼主）

是的最终我还是采用了Sanctum，web和APP端通用

讨论数量: 32

mingzaily

课程读者 36 声望

JWT最快，Passport可能比较符合后期需求，Sanctum没用过

2年前评论

jackven （楼主）

Passport 确实可能更符合后期需求，就是觉得有点重

mingzaily （作者）

@jackven 那就jwt，以后新增小程序端，也很方便，passport最主要还是走ouath2.0这一套

jackven （楼主）

@mingzaily 用JWT，Laravel 本身自带的csrf的检验貌似不太好用了

mingzaily （作者）

@jackven jwt放header里，一定程度上可以避免csrf吧？

小李世界

Laravel 8.x 译者 1.9k 声望 / Doge 先锋 @ dogeow.com

JWT

2年前评论

jackven （楼主）

为啥旧不看好Passport和Sanctum

小李世界（作者）

因为另外两个只用过一次，不熟悉。 JWT 熟悉点，哈哈

pigzzz

Laravel 8.x 译者 761 声望 / 搬砖 @ 工地

Passport

tymondesigns/jwt-auth 已经停更了

2年前评论

91it

停更了？估计laravel9出来还会做适配吧

pigzzz （作者）

@91it issue 未处理数量现在已经500多条了，上一次更新时间在 2 月份，php8 不支持

王小大

@pigzzz 我就是用的 JWTToken 在 PHP8 上面跑着没啥问题呀

pigzzz （作者）

@王小大你用的应该是 develop 版本吧

jackven （楼主）

这搞的我都不敢用了，稳定压倒一切哈

91it

@jackven 放心大胆的用吧，用了1年多了没啥问题

Insua

见习版主 240 声望 / owner @ insua.me

cookie/session就挺好自动续期

2年前评论

小学毕业生

课程读者 170 声望

必须passport，后期扩展方便，并且现在也支持多表了。

2年前评论

GDDD

109 声望 / 工头 @ 工地

jwt不就是基础版的passport

2年前评论

jackven （楼主）

应该不是一个东西吧，本质都是获取一个token

mengdodo

Laravel 9.x 译者 103 声望 / Backend Manager @ mengdodo

一直passport， jwt看过感觉简单很多

2年前评论

jackven （楼主）

passport 感觉有点重，如果不开发给第三方使用感觉用着有些不太合适样，对于登录设备管理等支持应该不太好吧，没仔细研究

mengdodo （作者）

@jackven 确实是重很多，本身集成了很多第三方授权，不过这玩意看你是怎么看待可拓展和精简的了

Su

见习助教 305 声望

file

2年前评论

Luson

Laravel 8.x 译者 885 声望 / senior developer @ 百度工厂

jwt简单又实用

2年前评论

esacpe

6 声望

用jwt吧

2年前评论

lun1bz

见习助教 119 声望

Sanctum最简单，挺好用的

2年前评论

jackven （楼主）

是的最终我还是采用了Sanctum，web和APP端通用

redis_object

0 声望

楼主最后为啥采用了Sanctum 可以说一下吗

2年前评论

jackven （楼主）

简单，Sanctum 对前端和APP访问请求来说还是很简单，没有passport那么复杂

redis_object （作者）

@jackven 采用Sanctum 如何自己写一个中间件来解密自己的用户id呢能加个v吗？

sodasix

课程读者 148 声望

Sanctum

2年前评论

GeorgeKing

L5.7 译者 716 声望

我最近也在调研这方面的解决方案，我们主要是想实现一个 IDaaS，就是一套包含 5A 的系统。

1.Account

2.Authorization

3.Authentication

4.Application

5.Audit

对比了阿里云的 IDaaS 和 Authing 的服务，感觉 Authing 更符合需求，切更容易接入，那么需要考虑的就是成本问题。

开源的方案也有 Ory 的一整套解决方案，但是实现相对复杂，基于 Golang 开发的，最近也在阅读和研究源码。

经过这么一顿调研后发现，其实要实现简单的 SSO 是没啥难度的，Passport 就剩胜任，但是对于应用的管理或是 API Gateway 的统一鉴权就比较麻烦，API Gateway 支持的 JWT 和 OIDC 与 Passport 的 AccessToken 无法完美适配。

其实 Passport 的 AccessToken 也是 JWT 的一种，只是签名加密算法采用的 RSA 等非对称算法，现在总算摸透了为啥那些大佬都说 JWT 适合与为服务的认证。

基于 Passport 实现的 SSO 其实本质上用户信息还是分散的，因为你在系统中需要获取用户信息，关联被授权应用中的用户信息，5A 中的 Account 服务也是为了解决这个问题。光靠这个 Account 服务还无法完美解决账户分散的问题，需要在业务层面设计不同系统或服务中仅通过 ID Token 来关联用户信息，系统或服务不需要存储用户任何信息。

完成了 SSO 之后，还有一个问题就是 SLO （单点登出），当然这个不是每个系统都需要这么个功能。

2年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助