自上一个版本 (5.2) 以来,在 Lumen 中禁用了 cookie。我目前正在使用 JWT 身份验证在 Lumen 中制作 API。
为了保护我的应用程序免受 CSRF 攻击,我需要设置一个 csrf cookie。但是现在最好的处理方法是什么?
在此提交中删除了 VerifyCsrfToken 中间件。
来自 Lumen 5.2 文档:
Lumen 5.2 代表着更加坚定地转向专注于无状态 API。
因此,如果您需要 Csrf 令牌验证,则必须将其存储在元标记或 JWT 有效负载中作为私有声明(您将需要实现新声明,即:此处)。
如果它被删除,可能有一个很好的理由。在这里,我提供了一些可能可以帮助您继续前进的链接。
https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage#post-2748616172