Over the years I've been working, I've seen people often "afraid" to make APIs with PHP, especially Laravel, because they think it's complicated and difficult. But believe me, with Laravel, building a REST API is not only fast and powerful but also extremely "fun". This article is not just theory, but real-life experience that I have gathered after a series of practical projects at Pham Hai. I will help you build a complete API from scratch, authenticated, secure with Sanctum, and ready for any project. Building REST API with PHP Laravel is the "weapon" to help you improve your backend skills.
Why must we "think" about API before even coding Frontend?
Designing the API first helps clearly define the data flow, completely separating the Frontend and Backend, thereby helping the team work in parallel effectively and easily expand the project later.
Real story: "Destroyed and rebuilt" because of lack of standard API from the beginning
Building a standard architecture from scratch is a vital problem for every software project. When I first started my career, I used to code the interface first and then write the backend to put data straight into the view. As a result, when customers want to make more mobile apps on iOS and Android, the whole team has to rebuild the entire thing because the logic code is tightly attached to the web interface.
From that incident, I realized the importance of separating the system. If you've ever been curious about how rest api programming for wordpress or other CMS platforms goes, API-first thinking is always an indispensable guideline. It makes your code flexible and reusable everywhere.
Client-server model and the indispensable role of REST API
REST API acts as a smooth communication bridge between the client and the server. It is like a dedicated waiter, receiving orders from customers (Client-server) and returning the correct dishes from the kitchen (Database).
In this architecture, the backend only cares about processing logic and data, not caring about the display interface. To gain a deeper understanding of how the backend operates, it is important to strengthen your foundational knowledge. For newbies, I recommend learning Learn basic PHP web backend programming to master these core concepts before diving into the framework.
JSON: The common communication "language" of all systems
The JSON (JavaScript Object Notation) format is the gold standard in modern data exchange. Everything exchanged between systems today mostly uses JSON.
It is extremely lightweight, has a clear structure, is easy to read with the naked eye, and especially any programming language can be parsed quickly. Data processing in Laravel REST API is essentially the process of converting objects in PHP into JSON strings to send and vice versa.
First-hand CRUD API battle: Building product management functions
To build a CRUD API with Laravel, you need to set up a project, create Model, Migration, Controller using Artisan command, then define Route and write data processing logic.
Step 1: Set up the Laravel API project and prepare the "field"
Sử dụng Composer để khởi tạo project Laravel mới và cấu hình kết nối database trong file .env một cách nhanh chóng.
Latest update as of March 2026 [1], the Laravel ecosystem (especially Laravel 12 version) is bringing a super compact directory structure. Any step-by-step Laravel REST API Building Tutorial requires going through installation. Managing package dependencies is a foundational step.
Nếu chưa quen, bạn nên tìm hiểu Composer PHP quản lý thư viện package là gì để thao tác mượt mà hơn. Hãy mở terminal lên và chạy lệnh: composer create-project laravel/laravel api-project. Sau khi source code tải về xong, bạn mở file .env để điền thông tin kết nối Database của mình vào.
Step 2: Use Artisan command to create Model, Migration and Controller in 1 minute
Chạy lệnh php artisan make:model Product -mc để tự động tạo cả Model, file Migration và Controller cùng lúc, giúp tiết kiệm tối đa thời gian.
Laravel cực kỳ thông minh và chiều chuộng developer. Bạn không cần tạo tay từng file cực nhọc. Lệnh Artisan command trên giúp bạn khởi tạo bộ khung chuẩn chỉnh (hậu tố -mc viết tắt của Migration và Controller). Mở file Migrations vừa tạo để định nghĩa các cột (ví dụ: name, price, description) cho bảng products.
In this step, object-oriented thinking is thoroughly applied through Eloquent ORM. To understand how objects interact, you should review PHP OOP object-oriented programming. If you're a complete beginner, a Laravel framework PHP from scratch course will help you avoid being overwhelmed by these specialized terms.
Bước 3: Định nghĩa các API endpoint với Route trong api.php
Mở file routes/api.php và sử dụng Route::apiResource() để tự động tạo các API endpoint chuẩn RESTful mà không cần khai báo dài dòng.
Cách tạo RESTful API trong Laravel thực sự rất nhàn. Thay vì viết 5 dòng Route khác nhau cho từng chức năng, bạn chỉ cần một dòng code duy nhất: Route::apiResource('products', ProductController::class);.
This line will automatically generate all necessary API endpoints. Below is a table summarizing how Laravel maps routes:
| HTTP methods | API endpoint | Function (Controller Method) |
|---|---|---|
| GET | /api/products |
Lấy danh sách sản phẩm (index) |
| POST | /api/products |
Thêm sản phẩm mới (store) |
| PUT/PATCH | /api/products/{id} |
Cập nhật sản phẩm (update) |
Step 4: Write processing logic for HTTP methods in Controller
In the Controller, you will write code to interact with the Database through Eloquent ORM for Create, Read, Update, Delete actions based on the corresponding HTTP methods.
Đây là trọng tâm của việc Xây dựng API CRUD với Laravel. Bạn sẽ đón nhận request từ client, xử lý logic và trả về JSON. Quá trình này khá tương đồng với lúc bạn thực hành Kết nối PHP MySQL CRUD hoàn chỉnh, nhưng thay vì dùng hàm view() để render ra HTML, chúng ta sẽ dùng response()->json().
Ví dụ code REST API Laravel cho hàm store rất đơn giản: lấy dữ liệu từ $request, gọi Product::create(), và trả về object vừa tạo kèm mã trạng thái 201.
Step 5: Test Laravel REST API using Postman
Open Postman, enter the URL, select the correct HTTP method and send the request to see the JSON results returned from the server.
Don't rush to continue coding if you haven't tested it thoroughly. Postman or CURL are the most powerful tools for backend developers. Testing Laravel REST API with Postman helps you ensure the output data is 100% accurate before handing it to the frontend.
After checking the API returns a smooth green HTTP Status Code 200, you can confidently hand over documents (API Docs) to the Frontend team. At this point, you can easily use Fetch API to call REST API with JavaScript to display data on the website vividly.
Important things to do: Secure and authenticate your API with Laravel Sanctum
Securing the Laravel REST API is a must; Laravel Sanctum provides a lightweight authentication system, perfect for SPA and mobile apps.
Sanctum vs Passport: When to use which?
Sanctum is used for simple applications, SPA or mobile apps that need basic tokens, while Passport is for large systems that need complex OAuth2 standards.
When it comes to Laravel authentication API, many people are often confused between these two libraries. At Pham Hai, through consulting experience for hundreds of projects, I advise 90% of small and medium projects to just bury Sanctum to ease their minds. It was created to provide simple token API and session management for Single Page Applications (SPAs). Only when you create an SSO (Single Sign-On) system for multiple cross-apps, granting permissions back and forth like "Login with Google", do you need to pull out Passport to use.
Instructions for installing and configuring Laravel Sanctum step by step
Cài đặt package qua Composer, publish file cấu hình, chạy lệnh migrate và thêm trait HasApiTokens vào User Model để kích hoạt Sanctum.
Bài Laravel Sanctum hướng dẫn này sẽ chỉ cho bạn cách làm chuẩn nhất. Từ phiên bản Laravel 11 và 12, Sanctum thường được tích hợp sẵn hoặc cài đặt cực kỳ nhanh chóng bằng lệnh php artisan install:api [2].
Sau khi chạy lệnh, hệ thống sẽ tự động tạo bảng lưu trữ token. Việc tiếp theo của bạn chỉ là vào file Model User.php, khai báo thêm use HasApiTokens;. Vậy là hệ thống của bạn đã hoàn toàn sẵn sàng để sinh ra những chuỗi token bảo mật khắt khe nhất cho người dùng.
Create tokens and protect important routes with Middleware
Sử dụng middleware auth:sanctum trong file route để chặn đứng các request không có token hoặc token không hợp lệ.
Authorization là bước chốt chặn an ninh cuối cùng. Trong file api.php, bạn nhóm các API endpoint cần bảo vệ vào trong một Route Group và gán Middleware cho nó.
Bất kỳ ai cố tình gọi API thêm, sửa, xóa sản phẩm mà không có token đính kèm trong header Authorization: Bearer {token} sẽ lập tức nhận về lỗi 401 Unauthorized. Đây là cốt lõi của việc Bảo mật REST API Laravel, giúp ngăn chặn các truy cập trái phép vào hệ thống dữ liệu của bạn.
Log in, log out, and manage client-side tokens
Write a login function to check the information, generate a plainTextToken to return to the client, and a logout function to delete the current token from the database.
Khi user gửi email và password lên endpoint /api/login, bạn dùng Auth::attempt() để kiểm tra (Authentication). Nếu thông tin chính xác, bạn gọi lệnh $user->createToken('my-app')->plainTextToken và trả chuỗi token này về cho client.
Phía client (React, Vue, Flutter) sẽ lưu token này lại (thường trong Local Storage) và nhét vào Header cho các request sau. Khi người dùng muốn đăng xuất, chỉ cần gọi $request->user()->currentAccessToken()->delete(); là token đó sẽ bị vô hiệu hóa hoàn toàn.
Improve skills: Optimize and standardize professional APIs
For the API to meet standards, you need to use API Resources to format data, strictly validate, catch HTTP code errors and optimize database query performance.
API Resource - "Witch" transforms returned data
Sử dụng JsonResource để ẩn đi các trường nhạy cảm và format lại cấu trúc JSON một cách đồng nhất trước khi trả về cho client.
Nhiều bạn có thói quen return $user; thẳng ra ngoài. Đừng làm vậy! Nhỡ đâu bạn vô tình lộ luôn cả cột password đã hash hay các thông tin nội bộ thì sao?
API Resource sinh ra để làm lớp trung gian biến đổi dữ liệu. Bằng cách chạy lệnh php artisan make:resource ProductResource, bạn có thể định nghĩa chính xác những field nào được phép xuất hiện trong chuỗi JSON trả về, đổi tên key cho thân thiện, hoặc ép kiểu dữ liệu (cast) một cách an toàn nhất.
Validation: Never trust data from users
Dùng Form Request hoặc hàm validate() trực tiếp trong Controller để kiểm tra kỹ lưỡng dữ liệu đầu vào, đảm bảo tính toàn vẹn của Database.
Rule number one when making a website is: Users can enter any garbage. Use Validation to block it right at the door.
You can check if the email is in the correct format, if the product price is a positive number, or if the title is duplicated. Returning detailed error with code 422 will help Frontend display the correct error message to the user, avoiding data garbage entering the Database.
Handle errors and unify HTTP Status Codes
Returning the correct error code (200 OK, 201 Created, 404 Not Found, 422 Unprocessable Entity) helps the client easily read and understand and process the corresponding logic.
Never return error 500 (Internal Server Error) with the message "Incorrect password", nor return 200 OK but the body says "System error". Please strictly follow the Status Code HTTP standard.
| Status Code | Meaning | When to use |
|---|---|---|
| 200 OK | Success | Returns data when GET, PUT, DELETE is successful. |
| 201 Created | Newly created | When POST creates a new record successfully. |
| 404 Not Found | Not found | When querying an ID that does not exist in the Database. |
This demonstrates your professionalism and makes it easier for automated tools to monitor the health of your API system.
Optimizing Laravel REST API performance: "Bloody" experiences
Thoroughly fix the N+1 query error with Eager Loading, use Cache for rarely changed data and standard indexing for the Database.
Tối ưu hiệu suất REST API Laravel là bước quyết định xem ứng dụng của bạn có chịu tải được hàng ngàn user cùng lúc hay không. Lỗi kinh điển nhất là N+1 query. Hãy luôn dùng hàm with('category') khi query các bảng có relationship để gộp câu lệnh SQL lại.
The team at Pham Hai always advises juniors to install additional packages like Laravel Telescope to see how many milliseconds each API endpoint is consuming and how many resources are being used. In addition, caching API endpoints in GET format (such as product catalog lists) will help reduce server load significantly.
Building a REST API with PHP Laravel is not as scary as you think, it is an extremely valuable skill that will help you further your backend career. Instead of just reading the theory, turn on the computer, code step by step and experience the data flow running smoothly for yourself. When you create an API that runs smoothly, has strict security, and optimizes speed, you will see that the effort is completely worth it. That is the best feeling of being a true developer.
What step did you encounter during the installation or configuration process? Or is there a better "trick" when making an API with this framework? Leave a comment below, me and everyone can discuss to improve our skills every day!
Note: The information in this article is for reference only. To get the best advice, please contact us directly for specific advice based on your actual needs.
