laravel单点登录需接入CAS或OAuth2认证中心,不能依赖默认Auth;CAS用phpCAS扩展替代Auth::attempt(),OAuth2优先自定义Socialite Provider;用户信息须首次登录时同步至本地并关联权限。
单点登录在 Laravel 中不是开箱即用的功能
默认的 Laravel Auth 系统只管本地会话,不处理跨域、跨系统的登录状态同步。所谓“单点登录”,本质是让多个应用共享同一套认证源(如 CAS Server 或 OAuth2 授权服务器),Laravel 必须作为客户端(Service Provider / Relying Party)接入,而不是自己当认证中心。
Laravel 集成 CAS:用 phpCAS 扩展最稳妥
phpCAS 是官方推荐的 PHP CAS 客户端库,与 Laravel 兼容性好,避免了自行解析 ticket 的坑。关键不是“装个包就行”,而是要绕过 Laravel 原生登录流程,把 Auth::attempt() 替换为 CAS 认证回调逻辑。
- 通过 composer 安装
jasig/phpcas,不要用已归档的旧 fork - 在中间件中调用
phpCAS::checkAuthentication(),失败则跳转phpCAS::forceAuthentication() - CAS 登录成功后,
phpCAS::getUser()返回用户名,需映射到本地User模型(查库或自动创建) - 务必禁用 Laravel 默认登录路由和控制器,否则用户可能绕过 CAS 直接走本地表单
- 登出必须调用
phpCAS::logout(),并重定向到 CAS Server 的logoutUrl,不能只清 Laravel session
Laravel 集成 OAuth2:优先选 laravel/socialite + 自定义 Provider
Socialite 本身只内置 gitHub/Google 等少数平台,但支持扩展。对接企业级 OAuth2 服务(如 Keycloak、azure AD、自建 Auth0)时,别硬改 socialiteproviders 社区包——很多已停止维护,且不支持 PKCE 或 custom grant_type。
- 继承
IlluminateSupportServiceProvider实现自己的 OAuth2 Provider 类,重写getaccessTokenResponse()和getUserByToken() - 在
config/services.php中配置client_id、client_secret、redirect、auth_url、token_url、user_url - 回调路由里用
Socialite::driver('your-oauth2')->user()获取用户信息,注意检查id_token签名(如果用了 OIDC) - OAuth2 登录态依赖 access_token 有效期,Laravel session 过期时间应 ≤ token expires_in,否则会出现“已登录但 API 调用 401”
CAS/OAuth2 下的用户同步与权限衔接容易被忽略
认证成功只是第一步。Laravel 的 Auth::user() 是本地模型实例,而 CAS/OAuth2 只给一个标识(username 或 sub)。怎么把外部身份和本地角色、权限、部门等关联起来,才是落地难点。
- 不要每次请求都查 CAS/OAuth2 用户详情——性能差,且多数服务不支持高频查询;应在首次登录时缓存必要字段(如 email、name、groups)到本地
users表 - 若 CAS 属性或 OAuth2 ID Token claim 含有组织架构信息(如
department、roles),需在登录回调中解析并写入本地数据库或 redis - 权限判断仍走 Laravel 的
@can或Gate,但策略逻辑要适配“从外部同步来的角色”,而不是硬编码role === 'admin' - 用户属性变更(如离职)不会自动同步到 Laravel 应用,需配合 CAS/OAuth2 的 Webhook 或定期 job 拉取更新