Как заставить работать и web и api авторизацию в Laravel?

Question

[Николай Алексеев]

Доброго всем дня!
Задача, казалось бы, простая: нужно чтобы работала и обычная веб авторизация методом сессии и jwt авторизация для АПИ методов

настройки:

'guards' => [
        'web' => [
            'driver' => 'session',
            'provider' => 'users',
        ],

        'api' => [
            'driver' => 'jwt',
            'provider' => 'users',
            'hash' => false,
        ],
    ],

И, соответственно, если ставлю в defaults =
'guard' => 'api',
Работает только АПИ, если web, то только сессии.

В файлах роутов указана мидлваря
api.php

Route::group(['middleware' => ['auth:api']], function()

web.php

Route::group(['middleware' => ['auth:web']], function()

Подскажите пожалуйста, как заставить работать их параллельно?

Comments

[Алексей Уколов]

Параллельно - это для одних и тех же роутов чтобы работала и та и другая (т.е. желаете странного) или для одного набора роутов один способ валидации, а для другого другой (т.е. нормальный сценарий).

[Николай Алексеев]

Алексей Уколов, Нормальный, конечно же. То есть для семейства маршрутов api/ авторизация jwt, для роутов, описанных в web.php - сессиию.
Дополню вопрос информацией по мидлваре

[Константин Б.]

Николай Алексеев, в Laravel passport есть специальных middleware для этого.

[Алексей Уколов]

Никто не отвечает. У меня тоже времени разбираться нет, но помогу, чем смогу. Кажется, что всё должно нормально работать и так, но вот у нас на проекте с точно такой же задачей зачем-то сделано отдельное middleware, которое переключает guard, а не используется auth:guard. Почему так сделано сейчас уже не вспомню, много лет прошло, но, видимо, была всё же какая-то причина.

[Николай Алексеев]

Алексей Уколов, Судя по всему, причина и правда была) Напишу своё решение в ответе

Answer 1

[Николай Алексеев]

Сам спросил, сам ответил.
Мой ответ, скорее всего, никому не понравится, но для меня это стало решением.
Предложенный в комментариях ларавель паспорт лично мне показался ерундой.

Там же в комментариях предложили вариант написать middleware которая переключает guard по необходимости.

Я же пошёл у себя на проекте по пути наименьшего сопротивления и просто написал свой сервис проверки токенов, поступающих в запросах от АПИ и добавил свою middleware, которая этот сервис дёргает.

Таким образом стандартные веб запросы работают через нативный функционал авторизации Ларавель (веб сессии), а запросы к АПИ работают через самописную JWT авторизацию.