目前项目laravel框架版本是5.2，php版本是5.6，想要做个api服务供其他端请求数据，看了下passport是需要php7版本的，然后翻了下5.2文档有个无状态的HTTP基本认证AuthenticateOnceWithBasicAuth，按照文档简单的两段代码试着配了运行下，发现授权不通过也可以访问。。 public function handle($request, Closure $next) { return Auth::onceBasic() ?: $next($request); // 下面这种方式也不会提示授权 $r = Auth::onceBasic(); /* 打印这个$r出来的是 #content: "Invalid credentials." #version: "1.0" #statusCode: 401 #statusText: "Unauthorized" */ if (!Auth::onceBasic()) { if ($request->ajax() || $request->wantsJson()) { return response('Unauthorized.', 401); } else { return redirect()->guest('login'); } } return $next($request); } 　　然后跟踪到了IlluminateAuthSessionGuard.php，有个getBasicCredentials函数，看着像是要传递用户名密码的，偶然有一次弹出了浏览器的输入密码账号界面（应该就是这样来授权了。。），输完后可以访问，但是清了cookie什么的再刷新直接出来结果页了，没有输密码界面。　　如果是这种直接传账号密码或者传个token的验证模式的话，似乎不是很安全啊，之前没用laravel的时候api调用话按照类似oauth那种拼参数拼token升序然后md5什么的实现的，但是这项目限制，没法装passport插件，想问下有兼容laravel5.2.45，php5.6.13的用于api服务的插件嘛或者直接把拼参数拼token升序MD5那一套拿过来在中间件里验证，似乎不太优雅？谢谢！