Auth::user() 返回当前登录用户实例，未登录时返回 null；必须配合 Auth::check() 使用，API 场景应改用 auth()->user()，多守卫需显式指定 guard，避免直接读 session('user')。

直接用 Auth::user() 就能拿到当前登录用户实例，但前提是用户已通过 Laravel 的认证系统登录；如果未登录，它返回 null，不抛异常——这点必须主动检查，否则容易触发 “Call to a member function xxx on null” 错误。

Auth::user() 与 Auth::check() 必须配对使用

很多开发者只写 Auth::user()->name，却忽略前置校验。一旦用户未登录，就会报错。正确做法是先判断再取值：

• Auth::check() 返回布尔值，表示当前会话是否已认证
• Auth::id() 直接返回用户 ID（整数），比 Auth::user()->id 更轻量，且未登录时返回 null 而非报错
• 在 Blade 模板中推荐用 @auth 和 @guest 指令替代手动判断

Session 中读取用户信息不可靠，别碰 session('user')

Laravel 的 Auth 门面底层确实依赖 Session，但它封装了用户模型的完整加载逻辑（包括重新查询数据库、处理 remember token 等）。手动从 Session 里读 user 键：

• 可能只是旧缓存数据，和数据库实际状态不一致
• 不包含 Eloquent 关系（如 $user->posts）、访问器（accessors）或属性转换（casts）
• 若你启用了 remember_token 或自定义守卫（guard），Session 值甚至根本不存在或格式不对

多守卫（guard）场景下必须指定守卫名

如果你有 admin、api 等多个 guard，Auth::user() 默认只作用于 web guard。不指定就拿不到其他守卫的用户：

• 获取 admin 守卫用户：Auth::guard('admin')->user()
• 检查 admin 是否登录：Auth::guard('admin')->check()
• 路由中间件也要对应写成 auth:admin，否则 Auth::guard('admin') 在未认证请求中仍返回 null

API 场景下不能依赖 Session，改用 auth()->user() 或请求头解析

API 请求默认不启用 session（StartSession 中间件被跳过），此时 Auth::user() 总是 null。必须确认你用的是 token 认证（如 Sanctum / Passport）：

use Illuminate\Http\Request;

public function profile(Request $request)
{
    // ✅ 正确：Laravel 会根据当前 guard 自动选择 token 验证方式
    $user = auth()->user();

    // ❌ 错误：Session 在 API 中通常不可用
    // $user = Auth::user();

    return response()->json($user);
}

注意：auth() 是全局辅助函数，等价于 Auth::guard()，但更常用于 API 控制器中——它会自动匹配当前请求的 guard 配置（由中间件决定），比硬写 Auth::guard('api') 更灵活。

最易被忽略的一点：Laravel 的用户对象是延迟加载的，Auth::user() 每次调用都会尝试重建实例。如果在同一个请求中多次使用，建议存到局部变量里复用，避免重复查询或解析开销。