会话过期时如何处理 laravel TokenMismatchException

【问题标题】:How to handle laravel TokenMismatchException when session expires会话过期时如何处理 laravel TokenMismatchException
【发布时间】:2016-05-23 01:32:15
【问题描述】:

当会话过期时,用户无法在不刷新页面的情况下重新登录,因为 ajax 标头中的 _token 已过期(AKA TokenMismatchException)。我无法通过将用户重定向到登录页面来处理异常,因为登录是覆盖模式并且请求是通过 ajax 处理的。

我认为我可以在Handler.php 中捕获不匹配异常并返回带有会话令牌的 json 响应。在客户端,使用新令牌继续预期的过程。但是,当我使用从服务器传递的新令牌时,会话令牌将在服务器端再次更改,从而导致另一个 TokenMismatchException

那么我应该如何在不刷新页面的情况下以安全的方式处理异常?

这是我现在拥有的:

在全局 js 文件中设置 csrf_token

   $(function () {
       $.ajaxSetup({
         headers: { 'X-CSRF-TOKEN': $('meta[name="csrf_token"]').attr('content') }
       });
     });

app/exceptions/handler.php 中的渲染方法:

  public function render($request, Exception $e)
    {
        if ($this->isHttpException($e))
        {
            return $this->renderHttpException($e);
        }
        else if ($e instanceof TokenMismatchException)
        {
            if ($request->ajax()) {
                return response()->json([
                    'message' => 'TokenMismatchException',
                    'token' => csrf_token()
                ]);
            }
        }
        else
        {
            return parent::render($request, $e);
        }
    }

在 authentication.js 中:

  $.ajax({
    type: "POST",
    url: "/auth/login",
    data: {
      "email" : $('#login_email').val(),
      "password" : $('#login_password').val(),
      'remember': $('#login_remember').is(':checked')
    },
    success: function(response) {
      if (response.message === 'TokenMismatchException') {
        console.log(response);  //message and token exist
        //if catch the exception, use the new token to set up the ajax headers and login again

           $.ajaxSettings.headers["X-CSRF-TOKEN"] = response.token;
           console.log($.ajaxSettings.headers["X-CSRF-TOKEN"]);
           $.ajax({
             type: "POST",
             url: "/auth/login",
             data: {
               "email" : $('#login_email').val(),
               "password" : $('#login_password').val(),
              'remember': $('#login_remember').is(':checked'),
             },
             success: function(res) {
               console.log(res);

             },
             error: function(err) {
               console.log(err);
             }
         });

      }
      console.log('logged in');  
    },
    error: function(xhr, status, err) {
    }
  });

提前致谢。

【问题讨论】:

    标签: javascript php ajax laravel session


    【解决方案1】:

    在您的渲染函数中,您必须检查特定的 TokenMismatchException。所以也许你可以尝试这样的事情:

       if ($exception instanceof \Illuminate\Session\TokenMismatchException) {
        return response()->json('msg', 'Your session has expired. Please try again.');
    }

    您还可以将新的 csrf_token 与 json 一起传递,以便您可以用新的替换旧的并再次发送表单请求。 

    if ($exception instanceof \Illuminate\Session\TokenMismatchException) {
            return response()->json(['msg'=> 'Your session has expired. Please try again.', 'token'=> csrf_token()]);
        }

    我没有测试过这段代码。但这应该让你开始。

    另外,如果你愿意,你可以使用一个包:https://github.com/GeneaLabs/laravel-caffeine

    【讨论】:

    • 嘿,我已经按照你的建议做了。请检查我的代码。另外,我相信 laravel-caffeine 目前仅适用于 php 页面上的表单,而不是 ajax 表单。
    • 我觉得没问题。你试过这个代码吗?令牌不匹配是一项安全功能,因此这种方法也会为任何试图使用无效令牌向我们的服务器发布请求的人打开大门。
    • 不起作用。第二次登录尝试也会产生相同的异常。这是因为后端的会话令牌再次刷新。你有更好的解决方案吗?
    猜你喜欢
    • 2015-02-24
    • 1970-01-01
    • 1970-01-01
    • 2017-07-06
    • 2012-11-30
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-04-29
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode