LaravelのFortifyとSanctumの違いと使い分け!初心者向けに認証の仕組みをやさしく解説
生徒
「Laravelの認証を調べていたら、FortifyとSanctumという言葉が出てきました。どちらを使えばいいんですか?」
先生
「この二つは役割が少し違います。名前が並んで紹介されることが多いので、混乱しやすいですね。」
生徒
「プログラミング未経験なので、違いがまったく想像できません…」
先生
「大丈夫です。家の鍵と入館証に例えながら、順番に整理していきましょう。」
1. Laravelの認証機能を整理しよう
Laravelの認証とは、「ログインしているのは誰か」を確認する仕組みです。ユーザー名やメールアドレス、パスワードを使って本人かどうかを判断します。
Laravelには、認証を助けてくれる仕組みがいくつか用意されています。その中でも、FortifyとSanctumはよく名前が出てくる存在です。
まず大切なのは、「この二つは競合するものではなく、役割が違う」という点です。同じ認証でも、担当している仕事が異なります。
2. Laravel Fortifyとは何か?
Laravel Fortifyは、「ログイン処理そのもの」を担当する仕組みです。ユーザーが入力したメールアドレスとパスワードを確認し、正しければログイン状態にします。
Fortifyは、画面を持たない認証の裏側だけを提供します。つまり、「どうやってログインを判断するか」という中身だけを用意してくれます。
例えるなら、受付で身分証をチェックする係です。入館証が本物かどうかを確認し、問題なければ通してくれます。
3. Laravel Sanctumとは何か?
Laravel Sanctumは、「ログイン状態を安全に保つための仕組み」です。特に、API通信や別の画面からアクセスする場合に使われます。
Sanctumは、トークンという特別な合言葉を使って、「このアクセスは本人ですよ」と証明します。トークンとは、一時的な通行証のようなものです。
これは、建物に入るときに毎回身分証を出さず、入館証を首から下げて移動するイメージに近いです。
4. FortifyとSanctumの役割の違い
FortifyとSanctumの大きな違いは、どの場面を担当するかです。
Fortifyは「ログインするとき」に使われます。一方でSanctumは「ログインした後、その状態を使ってアクセスする」ときに使われます。
つまり、Fortifyは入り口の確認係、Sanctumは建物の中で使う通行証の管理係です。役割が違うので、混同しないことが大切です。
5. 初心者が混乱しやすいポイント
初心者がよく混乱するのは、「FortifyとSanctumのどちらかを選ばないといけない」と思ってしまう点です。
実際には、両方を一緒に使うこともあります。ただし、学習初期では「Fortifyはログイン処理」「Sanctumはログイン後の認証」と理解できていれば十分です。
細かい設定や高度な使い分けは、後から学ぶ内容なので、今は全体像をつかむことを優先しましょう。
6. Breezeとの関係を知ろう
Laravel Breezeを使った場合、内部ではFortifyが利用されています。つまり、BreezeはFortifyを使いやすくしたセットです。
そのため、Breezeでログインができているなら、すでにFortifyの仕組みを使っていることになります。
Sanctumは、API通信やスマートフォンアプリと連携する場合に登場することが多く、最初は意識しなくても問題ありません。
7. どう使い分ければいいのか
通常のWebサイトでログイン機能を作る場合は、Fortifyを使った仕組みで十分です。画面からログインし、ページを移動する流れに向いています。
一方で、画面を持たない通信や、外部から安全にアクセスしたい場合はSanctumが活躍します。
初心者の段階では、「Fortifyはログインの仕組み」「Sanctumは安全な証明書」というイメージを持つだけで、Laravelの認証がぐっと理解しやすくなります。
商用Laravel 11 実務設計講座:サービスコンテナとAPIアーキテクチャの正解
ハローワーク職業訓練講師の実績を持つプロが監修。商用PHP開発の「現場の作法」を完全伝授。
「商用ロジック」を堅牢に設計する。Laravel 11でバックエンドエンジニアへの市場価値を最大化。
本講座では、単なる構文の暗記ではなく、「疎結合なサービス設計と依存性の注入(DI)」という本質的な技術を学びます。モダン開発のデファクトスタンダードであるLaravel 11を通じて、高単価案件で必須となるAPIアーキテクチャや保守性の高いコード設計を最短距離で身につけます。
具体的なワークショップ内容と環境
【つくるもの】
商用システムでも通用する「認証基盤を備えたRESTful API」の土台を構築します。ルーティング、Controllerでのリクエスト処理、Eloquentを用いたデータベース最適化など、現場で評価される「クリーンなバックエンド実装」をゼロから体験してください。
【開発環境】
プロの開発現場で標準のVisual Studio Code (VS Code)に加え、Laravel開発を加速させるPHPStorm対応のテクニックも紹介。Dockerコンテナ環境(Laravel Sail)を用いた環境構築から、テスト自動化(Pest/PHPUnit)の導入まで、現場基準のフローを一緒に構築します。
この60分で得られる3つの武器
コントローラーを肥大化させないビジネスロジックの分離手法を学び、大規模開発で通用する設計力を習得します。
N+1問題の解消やインデックスの意識など、高負荷時でもパフォーマンスを落とさないデータベース操作技術を体得します。
OWASP基準の脆弱性対策や、FormRequestを用いた堅牢なデータ整合性の保ち方を伝授し、プロの品質を保証します。
※本講座は、将来的にバックエンドエンジニア、リードエンジニア、サーバーサイドエンジニアを目指す方のための実践講座です。「PHPランド」独自の現役PLによるマンツーマン形式により、商用開発で直面する高度な疑問をその場で解決します。
20名規模のプロジェクトを率いる現役PL(プロジェクトリーダー)かつ、ハローワーク等の職業訓練で長年指導経験を持つ講師が、実務で通用するPHPバックエンド設計を体系的に解説。自己流ではない、市場価値を高めるための「最短到達」を支援します。
