Laravel Sanctum 中 Auth::id() 返回错误用户的问题解析

在 Laravel Sanctum 认证系统中，开发者有时会遇到一个奇怪的问题：即使使用了正确的认证令牌，Auth::id() 方法却总是返回用户表中 ID 为 1 的用户，而不是预期的当前认证用户。这个问题通常出现在没有显式应用 auth 中间件的路由中，但请求中携带了认证令牌的情况下。

问题现象

当开发者定义了一个如下所示的路由：

Route::get('/{slug}', [ProductController::class, 'show'])->name('show');

并在控制器方法中通过 Auth::id() 获取当前用户 ID 时，系统错误地返回了用户 ID 1，而不是令牌对应的实际用户 ID。

问题根源

深入分析 Sanctum 的 Guard 实现后，发现问题出在 Sanctum 的令牌查询机制上。默认情况下，Sanctum 会执行两个查询：

1. 首先查询 personal_access_tokens 表获取令牌记录
2. 然后直接查询 users 表获取第一条记录（不带任何条件）

这种查询方式导致了无论令牌关联的是哪个用户，系统总是返回用户表中的第一条记录（通常是 ID 为 1 的用户）。

解决方案

要解决这个问题，我们需要修改 Sanctum 的令牌查询方式，确保它正确地加载关联的用户模型。具体方法是在 PersonalAccessToken 模型的 findToken 方法中显式地使用 with('tokenable') 预加载关联：

$instance = static::query()->with('tokenable')->find($id)

这样修改后，Sanctum 会执行正确的关联查询：

1. 首先查询 personal_access_tokens 表获取令牌记录
2. 然后通过关联关系查询对应的用户记录

最佳实践

为了避免类似问题，建议开发者：

1. 对于需要认证的路由，始终显式添加 auth 中间件
2. 在需要访问认证用户信息的模型中，考虑使用请求注入而非直接调用 Auth::id()
3. 对于复杂的认证场景，考虑自定义 Guard 实现
4. 在测试环境中验证认证系统的行为，特别是边缘情况

总结

Laravel Sanctum 是一个强大的认证系统，但在某些特定场景下可能会出现认证用户识别错误的问题。通过理解 Sanctum 的内部工作机制，开发者可以更好地诊断和解决这类问题。本文提供的解决方案不仅修复了当前问题，也为处理类似认证问题提供了思路。

记住，在 Laravel 生态系统中，理解底层实现机制往往能帮助我们更有效地解决问题，而不仅仅是停留在表面现象。