问题:当我通过Ajax调用登录用户时,Laravel在同一页面的下一个Ajax帖子上返回419 CSRF令牌不匹配。
在结帐页面上,我有一个用于现有用户的登录按钮。单击后,将向用户显示一个登录模式。如果凭据匹配,则用户无需页面刷新即可登录。当用户没有帐户时,会显示一个注册模式,用于注册用户并登录。
当用户完成结帐过程并提交表单时,Laravel返回CSRF令牌不匹配错误。
答案 0 :(得分:1)
发生的情况是,成功登录后,Laravel使用AuthenticatesUsers特性发送登录响应。
然后,登录响应在session()上调用regenerate方法,该方法生成一个新的CSRF令牌。因此,您用于登录用户的csrf令牌对于下一个POST请求不再有效。
/**
* Send the response after the user was authenticated.
*
* @param \Illuminate\Http\Request $request
* @return \Illuminate\Http\Response
*/
protected function sendLoginResponse(Request $request)
{
$request->session()->regenerate();
$this->clearLoginAttempts($request);
if ($response = $this->authenticated($request, $this->guard()->user())) {
return $response;
}
return $request->wantsJson()
? new Response('', 204)
: redirect()->intended($this->redirectPath());
}
我通过在成功的登录响应中返回新的csrf令牌来处理此问题,并将其存储在下一个POST请求中使用。通过存储,我的意思是将其作为变量保存在JavaScript中,或者在我的情况下使用在应用程序状态下设置的React.js。
在Auth / LoginController中,我添加了authenticated方法,该方法覆盖了AuthenticatesUsers特性中的相同方法。
然后在验证请求的行之后,我检查这是否是Ajax请求并返回新的CSRF令牌。
protected function authenticated(Request $request, $user) {
$credentials = array (
'email' => $request->get('email'),
'password' => $request->get('password'),
);
$valid = Auth::validate($credentials);
if ($valid && $request->ajax()) {
return response()->json([
'auth' => auth()->check(),
'user' => $user,
'intended' => $this->redirectPath(),
'csrf' => csrf_token(),
]);
}
// Nothing changed from here on
}