Authentication ใน Laravel ทำงานอย่างไร?

Question

Accepted Answer

Laravel มี **ระบบ authentication** ที่สมบูรณ์และปลอดภัยมาให้พร้อมใช้งาน ได้แก่ การจัดการ login, การลงทะเบียน, การ hash รหัสผ่าน, session และการป้องกัน route มันมี starter kit สำเร็จรูปสำหรับ web app และ token-based auth (Sanctum/Passport) สำหรับ API ดังนั้นคุณจึงไม่ต้องสร้างฟังก์ชันที่สำคัญต่อความปลอดภัยนี้ด้วยตัวเอง

## พื้นฐาน (session, hashing, auth helper)

```php
use Illuminate\Support\Facades\Auth;

// attempt login — verifies credentials, establishes a session
if (Auth::attempt(['email' => $email, 'password' => $password])) {
    // logged in — Auth::user() now available everywhere
}
Auth::logout();
Auth::user();        // the authenticated user (or null)
Auth::check();        // is someone logged in?
Auth::id();           // the user's id

// passwords are HASHED automatically (bcrypt) — never plaintext
$user->password = Hash::make($plainPassword);
Hash::check($plain, $user->password);   // verify
```

Laravel จัดการ **การ hash รหัสผ่านอย่างปลอดภัย** (bcrypt/argon2 ไม่ใช่ plaintext) และการจัดการ session โดยอัตโนมัติ `Auth::attempt` ตรวจสอบ credential และ log user เข้าสู่ระบบ

## การป้องกัน route

```php
Route::get('/dashboard', ...)->middleware('auth');   // require login (the auth middleware)

// in Blade
@auth ... @endauth         // content for logged-in users
@guest ... @endguest       // content for visitors
```

**Middleware `auth`** ป้องกัน route (redirect/401 หากยังไม่ได้ login) ซึ่งเป็นวิธีมาตรฐานในการกำหนดให้ต้อง authenticate

## Starter kit และ API authentication

```text
Starter kits (Breeze, Jetstream) → scaffold complete login/registration/password-reset
  UI and logic instantly — don't build auth screens by hand.

API authentication:
  ✓ Sanctum → simple token-based auth for SPAs, mobile apps, simple API tokens (common)
  ✓ Passport → full OAuth2 server for complex API auth scenarios
```

สำหรับ API **Sanctum** (token auth แบบเบา) หรือ **Passport** (OAuth2 เต็มรูปแบบ) ออกและตรวจสอบ token โดยป้องกัน API route ด้วย middleware `auth:sanctum`

## ทำไมจึงสำคัญ

Authentication จำเป็นและ **สำคัญต่อความปลอดภัย** เพราะแอปพลิเคชันจริงเกือบทุกตัวต้องการบัญชีผู้ใช้และการ login และ authentication เป็นหนึ่งในสิ่งที่เกิดข้อผิดพลาดได้ง่ายและอันตรายที่สุดหากนำไปใช้อย่างไม่ถูกต้อง (รหัสผ่าน plaintext, การ hash ที่อ่อนแอ, ช่องโหว่ของ session นำไปสู่การละเมิดร้ายแรง)

ระบบ authentication ในตัวของ Laravel เป็นประโยชน์ที่สำคัญเพราะมันจัดการสิ่งนี้อย่างถูกต้องและปลอดภัยมาให้พร้อมใช้งาน ได้แก่ **การ hash รหัสผ่านอย่างปลอดภัย** (bcrypt/argon2 ไม่ใช่ plaintext จัดการโดยอัตโนมัติ), การจัดการ session และ `Auth` helper ที่สะดวกและ **middleware `auth`** สำหรับการป้องกัน route

การเข้าใจวิธี authenticate ผู้ใช้ การป้องกัน route และการเข้าถึงผู้ใช้ปัจจุบัน เป็นพื้นฐานสำหรับการสร้างแอปพลิเคชันที่มีบัญชี

ที่สำคัญพอ ๆ กันคือการรู้จักเครื่องมือใน ecosystem: **starter kit** (Breeze, Jetstream) scaffold ฟังก์ชัน login/registration/password-reset ที่สมบูรณ์และปลอดภัยในทันที (เพื่อให้คุณไม่ต้องสร้างหน้า auth ที่เกิดข้อผิดพลาดได้ง่ายด้วยมือ) และสำหรับ API **Sanctum** (token auth แบบง่ายสำหรับ SPA/mobile) หรือ **Passport** (OAuth2 เต็มรูปแบบ) มอบ token-based authentication ที่ปลอดภัย

เนื่องจาก authentication ทั้งพบทั่วไปและเป็นแหล่งของข้อผิดพลาดด้านความปลอดภัยที่อันตรายบ่อยครั้งเมื่อสร้างด้วยมือ การเข้าใจระบบ auth ที่แข็งแกร่ง ปลอดภัย และมาพร้อมใช้งานของ Laravel ได้แก่ พื้นฐาน การป้องกัน route, starter kit และตัวเลือก API auth เป็นความรู้สำคัญที่ช่วยให้คุณสร้างแอปพลิเคชันที่หันหน้าเข้าหาผู้ใช้อย่างปลอดภัยโดยไม่ต้องประดิษฐ์ (และเสี่ยง) ฟังก์ชันสำคัญนี้ใหม่ ซึ่งเป็นข้อได้เปรียบสำคัญของการใช้เฟรมเวิร์กที่เป็นผู้ใหญ่อย่าง Laravel