¿Cómo funciona la autenticación en Laravel?

Question

Accepted Answer

Laravel proporciona un sistema de **autenticación** completo y seguro listo para usar — manejando login, registro, hash de contraseñas, sesiones y protección de rutas. Ofrece kits de inicio listos para aplicaciones web y autenticación basada en tokens (Sanctum/Passport) para APIs, de modo que no tengas que construir esta funcionalidad crítica de seguridad tú mismo.

## Los conceptos básicos (sesiones, hashing, los helpers de autenticación)

```php
use Illuminate\Support\Facades\Auth;

// attempt login — verifies credentials, establishes a session
if (Auth::attempt(['email' => $email, 'password' => $password])) {
    // logged in — Auth::user() now available everywhere
}
Auth::logout();
Auth::user();        // the authenticated user (or null)
Auth::check();        // is someone logged in?
Auth::id();           // the user's id

// passwords are HASHED automatically (bcrypt) — never plaintext
$user->password = Hash::make($plainPassword);
Hash::check($plain, $user->password);   // verify
```

Laravel maneja **hash seguro de contraseñas** (bcrypt/argon2 — nunca texto plano) y gestión de sesiones automáticamente. `Auth::attempt` verifica las credenciales e inicia sesión al usuario.

## Protegiendo rutas

```php
Route::get('/dashboard', ...)->middleware('auth');   // require login (the auth middleware)

// in Blade
@auth ... @endauth         // content for logged-in users
@guest ... @endguest       // content for visitors
```

El **middleware `auth`** protege rutas (redirigiendo/401 si no estás autenticado) — la forma estándar de requerir autenticación.

## Kits de inicio y autenticación por API

```text
Starter kits (Breeze, Jetstream) → scaffold complete login/registration/password-reset
  UI and logic instantly — don't build auth screens by hand.

API authentication:
  ✓ Sanctum → simple token-based auth for SPAs, mobile apps, simple API tokens (common)
  ✓ Passport → full OAuth2 server for complex API auth scenarios
```

Para APIs, **Sanctum** (autenticación por tokens ligera) o **Passport** (OAuth2 completo) emiten y verifican tokens — protegiendo rutas API con el middleware `auth:sanctum`.

## Por qué es importante

La autenticación es esencial y **crítica para la seguridad** — casi toda aplicación real necesita cuentas de usuario y login, y la autenticación es una de las cosas más propensas a errores y peligrosas de implementar incorrectamente (contraseñas en texto plano, hash débil, vulnerabilidades de sesión conducen a brechas graves).

El sistema de autenticación incorporado de Laravel es un beneficio importante porque maneja esto correcta y seguramente listo para usar: **hash seguro de contraseñas** (bcrypt/argon2, nunca texto plano — manejado automáticamente), gestión de sesiones, y los convenientes helpers de `Auth` y el **middleware `auth`** para proteger rutas.

Entender cómo autenticar usuarios, proteger rutas y acceder al usuario actual es fundamental para construir aplicaciones con cuentas.

Igualmente importante es conocer las herramientas del ecosistema: **kits de inicio** (Breeze, Jetstream) que generan automáticamente funcionalidad completa y segura de login/registro/restablecimiento de contraseña al instante (de modo que no construyas pantallas de autenticación propensas a errores manualmente), y para APIs, **Sanctum** (autenticación simple por tokens para SPAs/móvil) o **Passport** (OAuth2 completo) proporcionan autenticación segura basada en tokens.

Ya que la autenticación es tanto ubicua como una fuente frecuente de errores de seguridad peligrosos cuando se implementa manualmente, entender el robusto, seguro y con pilas incluidas sistema de autenticación de Laravel — los conceptos básicos, protección de rutas, kits de inicio, y opciones de autenticación por API — es conocimiento importante que te permite construir aplicaciones seguras orientadas al usuario sin reinventar (y arriesgar) esta funcionalidad crítica, una ventaja clave de usar un framework maduro como Laravel.