JWT 鉴权在 Laravel 9+ 中无法直接使用 tymon/jwt-auth,因其依赖已废弃的旧版服务容器和认证机制;推荐用 laravel/sanctum 管理认证流程,并结合 firebase/php-jwt 手动签发与验证 JWT。
JWT 鉴权在 Laravel 中不是开箱即用的功能,官方不维护 jwt-auth 包,且该包已停止维护(tymon/jwt-auth 最后更新是 2021 年,仅支持 Laravel ≤ 8.x)。强行在 Laravel 9+ 中安装会触发 Target class [tymon.jwt.auth] does not exist 或 Class 'Tymon\JWTAuth\Providers\LaravelServiceProvider' not found 等错误。
为什么 tymon/jwt-auth 在 Laravel 9+ 上无法直接使用
该包依赖 Laravel 的旧版服务容器绑定方式和 Illuminate\Support\ServiceProvider 的早期行为,而 Laravel 9+ 移除了 app/Providers/AuthServiceProvider.php 中的 $this->app['auth']->viaRequest(...) 注册逻辑,同时废弃了 JWTAuth::parseToken() 这类静态门面调用。其核心类 JWTAuth 未适配 Laravel 的新式契约(如 Illuminate\Contracts\Auth\Guard)。
常见报错包括:
Call to undefined method Tymon\JWTAuth\JWTAuth::fromUser()-
Class jwt.auth does not exist(因config/app.php中的别名失效) Target [Tymon\JWTAuth\Providers\JWTProvider] is not instantiable
Laravel 9/10/11 推荐替代方案:使用 laravel/sanctum + 自定义 JWT 响应
Sanctum 本身不生成 JWT,但它是 Laravel 官方推荐、持续维护、兼容性最好的 API 认证方案。若你确实需要 JWT 格式的 token(例如前端要求 Authorization: Bearer eyJhbGci... 且需携带自定义 payload),可保留 Sanctum 的 session/token 管理能力,仅将响应中的 token 替换为 JWT。
实操建议:
- 安装
laravel/sanctum:运行composer require laravel/sanctum,然后执行php artisan sanctum:install - 在
config/auth.php中确保'defaults.guard' => 'api',且'guards.api'使用sanctum - 登录接口中不返回
$user->createToken(...)->plainTextToken,而是用firebase/php-jwt手动签发:
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
$payload = [
'sub' => $user->id,
'name' => $user->name,
'iat' => time(),
'exp' => time() + 3600,
'jti' => (string) Str::uuid(),
];
$token = JWT::encode($payload, config('app.key'), 'HS256');
注意:config('app.key') 是 32 字节字符串,可直接用于 HS256;若要用 RS256,需额外生成 PEM 密钥对并配置。
如何在中间件中验证自定义 JWT(非 Sanctum Token)
不能复用 auth:sanctum 中间件,必须写独立中间件,例如 EnsureJwtToken:
- 从
Authorizationheader 提取 token:$token = Str::after($request->bearerToken(), 'Bearer ') - 用
JWT::decode()解析,并捕获DomainException/SignatureInvalidException/BeforeValidException等异常 - 验证通过后,手动设置当前用户:
$request->setUserResolver(fn () => User::find($payload->sub)) - 不要调用
$next($request)前修改$request->headers,Laravel 不会重新解析认证
关键点:Laravel 的 Auth::user() 默认依赖 guard,所以你需要在中间件里显式绑定用户,否则控制器中 auth()->user() 仍为 null。
容易被忽略的细节
JWT 的 exp 时间必须是 int 类型(秒级时间戳),传入 Carbon::now()->addHour()->timestamp 而不是 toDateTimeString();sub 字段应为用户主键(int),避免用 UUID 字符串导致数据库查询失败;所有敏感字段(如权限数组)应放在 payload 中加密签名,不可依赖前端传入;firebase/php-jwt v6+ 要求显式传入 new Key($key, 'HS256'),旧版字符串参数方式已废弃。
