Auth::user() 返回当前登录用户实例,未登录时返回 null;必须配合 Auth::check() 使用,API 场景应改用 auth()->user(),多守卫需显式指定 guard,避免直接读 session('user')。
直接用 Auth::user() 就能拿到当前登录用户实例,但前提是用户已通过 Laravel 的认证系统登录;如果未登录,它返回 null,不抛异常——这点必须主动检查,否则容易触发 “Call to a member function xxx on null” 错误。
Auth::user() 与 Auth::check() 必须配对使用
很多开发者只写 Auth::user()->name,却忽略前置校验。一旦用户未登录,就会报错。正确做法是先判断再取值:
-
Auth::check()返回布尔值,表示当前会话是否已认证 -
Auth::id()直接返回用户 ID(整数),比Auth::user()->id更轻量,且未登录时返回null而非报错 - 在 Blade 模板中推荐用
@auth和@guest指令替代手动判断
Session 中读取用户信息不可靠,别碰 session('user')
Laravel 的 Auth 门面底层确实依赖 Session,但它封装了用户模型的完整加载逻辑(包括重新查询数据库、处理 remember token 等)。手动从 Session 里读 user 键:
- 可能只是旧缓存数据,和数据库实际状态不一致
- 不包含 Eloquent 关系(如
$user->posts)、访问器(accessors)或属性转换(casts) - 若你启用了
remember_token或自定义守卫(guard),Session 值甚至根本不存在或格式不对
多守卫(guard)场景下必须指定守卫名
如果你有 admin、api 等多个 guard,Auth::user() 默认只作用于 web guard。不指定就拿不到其他守卫的用户:
- 获取 admin 守卫用户:
Auth::guard('admin')->user() - 检查 admin 是否登录:
Auth::guard('admin')->check() -
路由中间件也要对应写成
auth:admin,否则Auth::guard('admin')在未认证请求中仍返回null
API 场景下不能依赖 Session,改用 auth()->user() 或请求头解析
API 请求默认不启用 session(StartSession 中间件被跳过),此时 Auth::user() 总是 null。必须确认你用的是 token 认证(如 Sanctum / Passport):
use Illuminate\Http\Request;
public function profile(Request $request)
{
// ✅ 正确:Laravel 会根据当前 guard 自动选择 token 验证方式
$user = auth()->user();
// ❌ 错误:Session 在 API 中通常不可用
// $user = Auth::user();
return response()->json($user);
}
注意:auth() 是全局辅助函数,等价于 Auth::guard(),但更常用于 API 控制器中——它会自动匹配当前请求的 guard 配置(由中间件决定),比硬写 Auth::guard('api') 更灵活。
最易被忽略的一点:Laravel 的用户对象是延迟加载的,Auth::user() 每次调用都会尝试重建实例。如果在同一个请求中多次使用,建议存到局部变量里复用,避免重复查询或解析开销。
