在Laravel中如何构建一个高效的API认证系统支持Token刷新和吊销

在Laravel中构建一个高效的API认证系统，支持Token刷新和吊销可以通过以下步骤实现：

1. 使用Laravel Passport来实现OAuth2.0认证授权机制，它提供了一种简单而强大的API认证方案。

2. 安装Passport插件：

composer require laravel/passport

3. 运行Passport的安装命令来生成所需的数据库迁移文件：

php artisan passport:install

4. 在User模型中使用HasApiTokens trait来为用户生成API Token：

use Laravel\Passport\HasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, Notifiable;
}

5. 创建API认证路由和控制器：

Route::post('/login', 'AuthController@login');
Route::post('/refresh', 'AuthController@refresh');
Route::post('/logout', 'AuthController@logout')->middleware('auth:api');

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

class AuthController extends Controller
{
    public function login(Request $request)
    {
        $credentials = $request->only('email', 'password');
        
        if (Auth::attempt($credentials)) {
            $user = Auth::user();
            $token = $user->createToken('MyApp')->accessToken;
            
            return response()->json(['token' => $token]);
        }
        
        return response()->json(['error' => 'Unauthorized'], 401);
    }
    
    public function refresh(Request $request)
    {
        $user = Auth::user();
        $token = $user->createToken('MyApp')->accessToken;
        
        return response()->json(['token' => $token]);
    }
    
    public function logout(Request $request)
    {
        $user = Auth::user();
        $user->token()->revoke();
        
        return response()->json(['message' => 'Successfully logged out']);
    }
}

6. 在AuthServiceProvider中注册Passport的路由和中间件：

public function boot()
{
    $this->registerPolicies();

    Passport::routes();

    Passport::tokensExpireIn(now()->addDays(15));
    Passport::refreshTokensExpireIn(now()->addDays(30));
}

7. 在api中间件组中添加Passport的认证中间件：

'api' => [
    'throttle:api',
    'auth:api',
],

8. 最后，在客户端发送请求时需要携带获得的Token来进行认证：

Authorization: Bearer {token}

通过以上步骤，就可以构建一个基于Laravel Passport的高效API认证系统，支持Token刷新和吊销的功能。