Sanctum - простая аутентификация: API tokens + SPA cookie auth. Для простых приложений.
Passport - полная реализация OAuth2 сервера. Для приложений, предоставляющих API третьим сторонам.
// Sanctum: API token
$token = $user->createToken('api-token')->plainTextToken;
// Authorization: Bearer {token}
// Sanctum: SPA auth (cookie-based)
// Автоматически через middlewareВыбор: Sanctum для 90% проектов (SPA, mobile, simple API). Passport - когда нужен OAuth2 (авторизация для third-party apps).