Laravel中如何实现JWT鉴权认证_Laravel使用JWT-Auth安装与配置【深入】

JWT 鉴权在 Laravel 9+ 中无法直接使用 tymon/jwt-auth，因其依赖已废弃的旧版服务容器和认证机制；推荐用 laravel/sanctum 管理认证流程，并结合 firebase/php-jwt 手动签发与验证 JWT。

JWT 鉴权在 Laravel 中不是开箱即用的功能，官方不维护 jwt-auth 包，且该包已停止维护（tymon/jwt-auth 最后更新是 2021 年，仅支持 Laravel ≤ 8.x）。强行在 Laravel 9+ 中安装会触发 Target class [tymon.jwt.auth] does not exist 或 Class 'Tymon\JWTAuth\Providers\LaravelServiceProvider' not found 等错误。

为什么 tymon/jwt-auth 在 Laravel 9+ 上无法直接使用

该包依赖 Laravel 的旧版服务容器绑定方式和 Illuminate\Support\ServiceProvider 的早期行为，而 Laravel 9+ 移除了 app/Providers/AuthServiceProvider.php 中的 $this->app['auth']->viaRequest(...) 注册逻辑，同时废弃了 JWTAuth::parseToken() 这类静态门面调用。其核心类 JWTAuth 未适配 Laravel 的新式契约（如 Illuminate\Contracts\Auth\Guard）。

常见报错包括：

• Call to undefined method Tymon\JWTAuth\JWTAuth::fromUser()
• Class jwt.auth does not exist（因 config/app.php 中的别名失效）
• Target [Tymon\JWTAuth\Providers\JWTProvider] is not instantiable

Laravel 9/10/11 推荐替代方案：使用 laravel/sanctum + 自定义 JWT 响应

Sanctum 本身不生成 JWT，但它是 Laravel 官方推荐、持续维护、兼容性最好的 API 认证方案。若你确实需要 JWT 格式的 token（例如前端要求 Authorization: Bearer eyJhbGci... 且需携带自定义 payload），可保留 Sanctum 的 session/token 管理能力，仅将响应中的 token 替换为 JWT。

实操建议：

Napkin AI

Napkin AI 可以将您的文本转换为图表、流程图、信息图、思维导图视觉效果，以便快速有效地分享您的想法。

下载

• 安装 laravel/sanctum：运行 composer require laravel/sanctum，然后执行 php artisan sanctum:install
• 在 config/auth.php 中确保 'defaults.guard' => 'api'，且 'guards.api' 使用 sanctum
• 登录接口中不返回 $user->createToken(...)->plainTextToken，而是用 firebase/php-jwt 手动签发：

use Firebase\JWT\JWT;
use Firebase\JWT\Key;

$payload = [
    'sub' => $user->id,
    'name' => $user->name,
    'iat' => time(),
    'exp' => time() + 3600,
    'jti' => (string) Str::uuid(),
];
$token = JWT::encode($payload, config('app.key'), 'HS256');

注意：config('app.key') 是 32 字节字符串，可直接用于 HS256；若要用 RS256，需额外生成 PEM 密钥对并配置。

如何在中间件中验证自定义 JWT（非 Sanctum Token）

不能复用 auth:sanctum 中间件，必须写独立中间件，例如 EnsureJwtToken：

• 从 Authorization header 提取 token：$token = Str::after($request->bearerToken(), 'Bearer ')
• 用 JWT::decode() 解析，并捕获 DomainException / SignatureInvalidException / BeforeValidException 等异常
• 验证通过后，手动设置当前用户：$request->setUserResolver(fn () => User::find($payload->sub))
• 不要调用 $next($request) 前修改 $request->headers，Laravel 不会重新解析认证

关键点：Laravel 的 Auth::user() 默认依赖 guard，所以你需要在中间件里显式绑定用户，否则控制器中 auth()->user() 仍为 null。

容易被忽略的细节

JWT 的 exp 时间必须是 int 类型（秒级时间戳），传入 Carbon::now()->addHour()->timestamp 而不是 toDateTimeString()；sub 字段应为用户主键（int），避免用 UUID 字符串导致数据库查询失败；所有敏感字段（如权限数组）应放在 payload 中加密签名，不可依赖前端传入；firebase/php-jwt v6+ 要求显式传入 new Key($key, 'HS256')，旧版字符串参数方式已废弃。