В каких случаях следует сделать выбор в пользу Laravel Passport перед JWT или Sanctum?

Question

[Роми]

То же самое и относительно JWT :)

Суть вопроса в том, что Sanctum - вполне себе работоспособен для stateless-аутентификации, и, достаточно прост.

Тем не менее, насколько я могу судить, большинство делает выбор в пользу JWT, а некоторые выбирают Passport.

В чем тут соль? Наверняка же это усложнение имеет под собой какую-то рациональную основу?

Но какую именно?

Заранее спасибо за внятный ответ (желательно, основанный на личном опыте).

Answer 1

[Константин Толмачев]

Если очень кратко:
Sanctum - крайне простой механизм авторизации для PWA приложений. Формата поставил и работает. Если не нужно вообще никаких тонких настоек, рабочий вариант, но только если у вас с вашим апи работаете только вы, и если у вас есть только PWA приложение и кастомные настройки вам в принципе не нужны
JWT - по факту технология и любое кастомное решение, где уже мало что из коробки. Есть основа, а дальше все что угодно. Ибо JWT это технология, а не пакет.
Passport - полноценный каркас под OAuth сервер. Идеально для ситуаций с разделенным доступом, и если вашим апи будут пользоваться сторонние разработчики.

Ну это если очень кратко. Разные инструменты под разные задачи.

Comments

[Роми]

Да, спасибо, я это все понимаю, но все равно как-то в ответ в голове не складывается.

[Роми]

// под JWT я имел в виду не сам формат, а популярные реализации типа https://github.com/tymondesigns/jwt-auth

[Константин Толмачев]

Роми, По факту авторизация основанная на токене. Все. Остальное это варианты этой авторизации реализованные в конкретных пакетах.

Чтобы объяснить еще проще, смотрите где что применяется. Например тот же санктум это только авторизация на сайте, все. Больше он ни для чего не предназначен. JWT это строка с зашифрованными данными, самое частое применение в почте, или быстрой авторизации. Т.е. вставляется в ссылку, и по ней уже авторизуется пользователь выполняется какая то логика. Паспорт же, ну представьте окно авторизации например у гугла или другой крупной компании, если вы авторизуетесь например через гугл где либо он говорит мол, что такое приложение или сайт такого то разработчика хочет получить такие то ваши данные. Согласны вы с этим или нет?

В остальном же куча сравнений есть в сети на иностранных ресурсах. Опять же это разные решения для разных задач, никто не мешает вам применять их одновременно

[tol64]

Роми, подробный пример с реализацией Laravel Sanctum можете прочитать в этой статье: https://www.mql5.com/ru/articles/10370