我安装了 L8、Sanctum 和 Fortify 以进行身份验证。我能够/login
(使用Pre-request Script
来设置X-XSRF-TOKEN
)。我什至成功获得了 /api/user
。但是当我执行 /logout
时,我在 Postman 中收到“CSRF Token Mismatch”错误。我在文件中的设置如下:
.env
SESSION_DOMAIN=localhost
SANCTUM_STATEFUL_DOMAINS=localhost:8000
cors.php
'paths' => ['api/*', 'login', 'logout', 'register', 'sanctum/csrf-cookie']
fortify.php
'views' => false
/app/Http/Kernel.php
'api' => [
\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
我没有在 HasApiTokens
模型中使用 User
trait,因为这是基于 cookie 的身份验证。
在 Postman 中,我对 /logout
路由使用以下标头:
Accept:application/json
Referer:localhost:8000
X-XSRF-TOKEN:{{xsrf-token}}
我正在向 POST
发出 http://localhost:8000/logout
请求。为什么我收到“CSRF 令牌不匹配”错误?
答案 0 :(得分:0)
我不确定你是否解决了这个问题,但如果没有,我只需要解决同样的问题。
失败的原因是因为每个请求都会更新 CSRF 令牌,因此您需要将请求后脚本添加到您的登录请求(以及您提出的任何其他请求)中。
例如您可以将脚本添加到请求的测试部分:
postman.setEnvironmentVariable("xsrf-token", postman.getResponseCookie("XSRF-TOKEN").value);
tests["CSRF token updated"] = true;
第二行是为了确保脚本不会每次都报告失败。
我还发现可能需要对令牌值使用 decodeURIComponent()
。