Laravel5.3+框架定义API路径取消CSRF保护方法详解
从Laravel 5.3+开始,API路径被放入了routes/api.php中。我们绝大多数的路径其实都会在web.php中定义,因为在web.php中定义的路径默认有CSRF保护,而API路径默认没有CSRF保护。在Laravel官网文档中写到:/p>
Any HTML forms pointing to POST, PUT, or DELETE routes that are defined in the web routes file should include a CSRF token field. Otherwise, the request will be rejected.
所以,请注意你页面的表单中是否使用了POST、PUT或DELETE方法,如果有,并且你没有在表单中添加相应的CSRF token时,你的请求将会失败。
有时候,我们可能不想要CSRF保护。比如我们想使用第三方软件测试表单提交,或者比如微信公众号接口的开发时,当微信服务器使用POST推送给我们消息时,如果开启了CSRF保护,那么请求肯定是失败的。
在这样的情况下,我们可以使用API路径来取消CSRF保护。
我们有两种办法来定义API Routes。
第一种办法:
将routes放进VerifyCsrfToken这个middleware的$except数组里:
<?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ '/api/my-route', ]; }
以上middleware的位置在app/Http/Middleware文件夹中。
第二种方法:
将routes放进api.php里:
<?php use Illuminate\Http\Request; /* |-------------------------------------------------------------------------- | API Routes |-------------------------------------------------------------------------- | | Here is where you can register API routes for your application. These | routes are loaded by the RouteServiceProvider within a group which | is assigned the "api" middleware group. Enjoy building your API! | */ Route::middleware('auth:api')->get('/user', function (Request $request) { return $request->user(); }); Route::get('/wechat', 'WechatAPIController@some-method'); Route::post('/wechat', 'WechatAPIController@some-other-method');
api.php和web.php同处于routes文件夹下。
在api.php中添加的路径,在访问时,我们需要在路径前,加上api/前缀:
//www.jb51.net/api/wechat
好了,这样一来,我们就完成了API路径的定义,或者换句话说,取消了路径的CSRF保护。
本文主要讲解了Laravel框架定义API路径取消CSRF保护的操作方法,更多关于Laravel框架的使用技巧请查看下面的相关链接
您可能感兴趣的文章:
- laravel框架中表单请求类型和CSRF防护实例分析
- Laravel 解决419错误 -ajax请求错误的问题(CSRF验证)
- 对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
- laravel 实现关闭CSRF(全部关闭、部分关闭)
- laravel csrf排除路由,禁止,关闭指定路由的例子
- Laravel框架中VerifyCsrfToken报错问题的解决
- 在 Laravel 中动态隐藏 API 字段的方法
- laravel框架 api自定义全局异常处理方法
- Laravel+Dingo/Api 自定义响应的实现
- 让Laravel API永远返回JSON格式响应的方法示例
- 基于laravel制作APP接口(API)
- PHP教程系列3-写PHP程序前必须知道的5点信息
- 基于 Laravel 5.7 开发博客应用系列(一) —— 创建项目和测试配置
- 能自动通知、同步微博的失物招领系统开源啦!
- laravel基础学习笔记记录(2)---视图的加载及参数传递
- laravel基础学习笔记记录(4)---控制器里面对数据库增删该查的多种操作方法
- laravel基础学习笔记记录(6)---登录注册等文件的生成
- 编程技术目录汇总(20200321-第一版)
- Laravel 下配置 Redis 让缓存、Session 各自使用不同的 Redis 数据库
- es-for-Laravel: Composer 包安装, Laravel 最简单的方式操作 Elasticsearch
- Android Manifest 用法
- [扩展推荐] Prequel 可集成到 Laravel 项目中的数据库管理工具
- [扩展推荐] Laravel-create 目前为止最智能交互最好的 Laravel 代码生成器
- [扩展推荐] Prequel 可集成到 Laravel 项目中的数据库管理工具
- Laravel 5+ .env环境配置文件详解
- Laravel5.5+ 使用API Resources快速输出自定义JSON方法详解
- laravel框架路由分组,中间件,命名空间,子域名,路由前缀实例分析
- Laravel 模型使用软删除-左连接查询-表起别名示例
- 什么是 GraphQL?
- django API 中接口的互相调用实例