Laravel多用户切换认证守卫重置方法

本文详解如何在单个 PestPHP 或 PHPUnit 测试中安全、可靠地切换多个已登录用户，解决 actingAs() 调用后守卫状态残留导致身份无法更新的问题。

本文详解如何在单个 PestPHP 或 PHPUnit 测试中安全、可靠地切换多个已登录用户，解决 `actingAs()` 调用后守卫状态残留导致身份无法更新的问题。

在 Laravel 的功能测试（尤其是使用 PestPHP 编写的测试）中，$this->actingAs($user) 是模拟用户登录最常用的方法。然而，许多开发者会遇到一个隐蔽但高频的问题：在同一测试方法内多次调用 actingAs() 无法真正切换用户身份——后续请求仍以首个 actingAs() 设置的用户执行，即使显式调用 Auth::logout() 或访问登出路由也无效。

根本原因在于 Laravel 测试上下文中的 Auth 门面底层复用了同一个认证守卫（Guard）实例，且该守卫在请求间未被自动重置。actingAs() 仅设置当前请求的用户，并不清理前序状态；而 Laravel 测试 HTTP 内核默认复用服务容器和守卫实例，导致守卫内部缓存的用户信息持续生效。

✅ 正确解决方案是：在用户切换前主动清空所有认证守卫的状态。Laravel 提供了官方支持的方法：

$this->app->get('auth')->forgetGuards();

该方法会遍历并重置所有已注册的认证守卫（如 web, api），清除其缓存的用户实例与 session/Token 状态，为下一次 actingAs() 创建干净的认证上下文。

以下是完整、可直接复用的 PestPHP 测试示例：

it('allows two users to interact sequentially', function () {
    // 创建两个独立用户
    $poster = User::factory()->subscriber()->active()->create();
    $follower = User::factory()->subscriber()->active()->create();

    // 用户 A（follower）登录并执行关注操作
    $this->actingAs($follower)
         ->postJson('/ajax/follow/User/' . $poster->id)
         ->assertSuccessful();

    // ? 关键步骤：重置所有认证守卫，清除残留状态
    $this->app->get('auth')->forgetGuards();

    // 用户 B（poster）登录并发布动态
    $response = $this->actingAs($poster)
                    ->postJson('/posts/add', [
                        'id' => 1,
                        'body' => 'I have a body',
                    ]);

    $response->assertSuccessful();
    expect($response['data']['author']['id'])->toBe($poster->id);
});

⚠️ 注意事项：

• 不可省略 forgetGuards()：仅调用 Auth::logout() 或 $this->get('/logout') 无法影响测试中复用的守卫实例，因其不触发守卫重初始化；
• 位置至关重要：必须在两次 actingAs() 调用之间调用，且在第二次 actingAs() 之前；
• PestPHP & PHPUnit 通用：该方案同时适用于 PestPHP 的闭包测试和传统 PHPUnit 的 TestCase；
• 多守卫场景安全：forgetGuards() 会统一清理所有守卫（包括自定义守卫），无需手动指定；
• 性能无负担：该操作仅重置内存状态，不涉及 I/O，对测试性能无影响。

? 进阶提示：若项目中频繁需要多用户交互测试，可将其封装为可复用的 Pest 宏或测试 trait：

// In tests/Pest.php
uses()->group('multi-user');

function switchTo(User $user): void
{
    app('auth')->forgetGuards();
    test()->actingAs($user);
}

然后在测试中简洁调用：

$this->actingAs($follower)->post(...);
switchTo($poster);
$this->postJson('/posts/add', [...]);

掌握 forgetGuards() 的使用，即可彻底摆脱“单测试单用户”的限制，在集成测试中真实模拟多角色协同场景——无论是社交互动、权限校验，还是实时通知链路，都能获得精准、可信赖的验证结果。