本文详解 laravel 与 vue 的最佳协作模式:推荐采用前后端分离架构,laravel 专注提供安全、规范的 restful api,vue 负责完整前端交互;认证统一由 laravel 后端控制,api 层强制鉴权,确保业务逻辑与安全边界清晰。
在现代 Web 开发中,Laravel 与 Vue 的组合极具生产力优势——Laravel 提供健壮的后端基础设施(Eloquent ORM、Auth、CSRF、队列、缓存等),而 Vue 提供响应式、组件化的前端体验。二者协同的关键在于职责清晰、边界明确。我们强烈推荐采用 「前后端完全分离」架构:
✅ Laravel 作为纯 API 服务层
- 使用 php artisan make:controller Api/PostController --api 创建无视图的 API 控制器;
- 所有数据操作(CRUD)、权限校验(Gate/Policy)、业务规则(如库存扣减、支付回调)均由 Laravel 完成;
- 认证统一使用 Laravel Sanctum(轻量)或 Passport(OAuth2 场景),通过 auth:sanctum 中间件保护 API 路由:
// routes/api.php
Route::middleware('auth:sanctum')->group(function () {
Route::get('/user', [UserController::class, 'profile']);
Route::post('/posts', [PostController::class, 'store']);
});✅ Vue 作为独立前端应用
- 使用 Vue CLI 或 Vite 搭建独立项目(非 Laravel Mix 内嵌),部署于 Nginx/Apache 或静态托管平台(Vercel/Netlify);
- 通过 Axios 调用 Laravel API,配合 Vuex/Pinia 管理全局状态;
- 路由守卫(router.beforeEach)控制页面访问权限,但关键鉴权必须在后端完成:
// src/router/index.js
router.beforeEach(async (to, from, next) => {
if (to.meta.requiresAuth && !store.state.auth.token) {
next({ name: 'Login' });
} else if (to.meta.requiresAuth) {
try {
// 前端仅做 token 存在性检查,真实权限由后端 API 返回
await store.dispatch('auth/validateToken');
next();
} catch (error) {
next({ name: 'Login' });
}
} else {
next();
}
});⚠️ 重要原则:永不信任前端
立即学习“前端免费学习笔记(深入)”;
- Vue 页面资源(HTML/JS/CSS)可被用户直接访问,前端路由、按钮显隐、表单提交等均不能替代后端鉴权;
- 例如:即使 Vue 隐藏了“删除”按钮,API 接口仍需通过 Gate::authorize('delete', $post) 校验当前用户是否拥有该权限;
- CSRF 保护在 API 模式下由 Sanctum 的 X-XSRF-TOKEN 自动处理(需配置 withCredentials: true);
? 开发与部署建议
- 开发阶段:Laravel 启动本地 API(php artisan serve),Vue 通过 vite.config.js 的 proxy 代理请求至 http://localhost:8000;
- 生产环境:Laravel API 部署于子域名(如 api.yoursite.com),Vue 前端部署于主域名(yoursite.com),跨域由 Laravel 的 cors.php 配置允许;
- 错误处理:Laravel 统一返回 JSON 格式错误(如 403 Forbidden + { "message": "This action is unauthorized." }),Vue 全局拦截并提示用户;
这种架构让团队分工更高效(后端专注数据与安全,前端专注体验与交互),也便于未来扩展(如接入移动端 App、小程序,复用同一套 API)。记住:前端是“展示层”,后端才是“守门人”——这才是 Laravel + Vue 协作的黄金法则。
