1

我安装了 L8、Sanctum 和 Fortify 进行身份验证。我能够/login(使用 aPre-request Script设置X-XSRF-TOKEN)。我什至/api/user成功了。但是当我这样做时/logout,我在 Postman 中收到“CSRF 令牌不匹配”错误。我在文件中的设置如下:

.env

SESSION_DOMAIN=localhost
SANCTUM_STATEFUL_DOMAINS=localhost:8000

cors.php

'paths' => ['api/*', 'login', 'logout', 'register', 'sanctum/csrf-cookie']

强化.php

'views' => false

/app/Http/Kernel.php

'api' => [
  \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
  'throttle:api',
  \Illuminate\Routing\Middleware\SubstituteBindings::class,
],

我没有HasApiTokens在模型中使用 trait,User因为这是基于 cookie 的身份验证。

在 Postman 中,我使用以下标头作为/logout路线:

Accept:application/json
Referer:localhost:8000
X-XSRF-TOKEN:{{xsrf-token}}

我正在POSThttp://localhost:8000/logout. 为什么我收到“CSRF 令牌不匹配”错误?

4

2 回答 2

1

我不确定你是否解决了这个问题,但如果没有,我只需要解决同样的问题。

它失败的原因是因为每个请求都会更新 CSRF 令牌,因此您需要将请求后脚本添加到您的登录请求(以及您发出的任何其他请求)中。

例如,您可以将脚本添加到请求的测试部分:

postman.setEnvironmentVariable("xsrf-token", postman.getResponseCookie("XSRF-TOKEN").value);
tests["CSRF token updated"] = true;

第二行是为了确保脚本不会每次都报告失败。

我还发现可能有必要decodeURIComponent()在令牌值上使用。

于 2021-05-07T13:10:04.597 回答
0

在您的App\Http\Middleware\VerifyCsrfToken中间件中,添加/api/logout$except数组中:

protected $except = [
    '/api/logout'
];
于 2022-01-21T17:18:14.893 回答