在Laravel中如何構建一個高效的API認證系統支持Token刷新和吊銷

在Laravel中構建一個高效的API認證系統，支持Token刷新和吊銷可以通過以下步驟實現：

1. 使用Laravel Passport來實現OAuth2.0認證授權機制，它提供了一種簡單而強大的API認證方案。

2. 安裝Passport插件：

composer require laravel/passport

3. 運行Passport的安裝命令來生成所需的數據庫遷移文件：

php artisan passport:install

4. 在User模型中使用HasApiTokens trait來為用戶生成API Token：

use Laravel\Passport\HasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, Notifiable;
}

5. 創建API認證路由和控制器：

Route::post('/login', 'AuthController@login');
Route::post('/refresh', 'AuthController@refresh');
Route::post('/logout', 'AuthController@logout')->middleware('auth:api');

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

class AuthController extends Controller
{
    public function login(Request $request)
    {
        $credentials = $request->only('email', 'password');
        
        if (Auth::attempt($credentials)) {
            $user = Auth::user();
            $token = $user->createToken('MyApp')->accessToken;
            
            return response()->json(['token' => $token]);
        }
        
        return response()->json(['error' => 'Unauthorized'], 401);
    }
    
    public function refresh(Request $request)
    {
        $user = Auth::user();
        $token = $user->createToken('MyApp')->accessToken;
        
        return response()->json(['token' => $token]);
    }
    
    public function logout(Request $request)
    {
        $user = Auth::user();
        $user->token()->revoke();
        
        return response()->json(['message' => 'Successfully logged out']);
    }
}

6. 在AuthServiceProvider中注冊Passport的路由和中間件：

public function boot()
{
    $this->registerPolicies();

    Passport::routes();

    Passport::tokensExpireIn(now()->addDays(15));
    Passport::refreshTokensExpireIn(now()->addDays(30));
}

7. 在api中間件組中添加Passport的認證中間件：

'api' => [
    'throttle:api',
    'auth:api',
],

8. 最后，在客戶端發送請求時需要攜帶獲得的Token來進行認證：

Authorization: Bearer {token}

通過以上步驟，就可以構建一個基于Laravel Passport的高效API認證系統，支持Token刷新和吊銷的功能。