我尝试与使用 Laravel 构建的 REST API 交谈。但是由于令牌不匹配,与 POSTMAN 的调用被拒绝。我想我需要在标题中包含 CSRF 令牌。但是我需要加密的吗?当我插入此令牌时,我仍然收到令牌不匹配的错误。
我通过以下方式检索我的令牌:
$encrypter = app('Illuminate\Encryption\Encrypter');
$encrypted_token = $encrypter->encrypt(csrf_token());
return $encrypted_token;
但这应该在每次刷新时改变吗?
【问题讨论】:
如果您不使用表单 - 例如 API - 您可以按照此处https://gist.github.com/ethanstenis/3cc78c1d097680ac7ef0的步骤操作:
基本上,将以下内容添加到刀片或树枝头
<meta name="csrf-token" content="{{ csrf_token() }}">
如果尚未安装 Postman Interceptor,请安装,然后打开它
然后,在您的浏览器中登录网站(您需要获得授权),然后检查元素或查看源代码以检索令牌
在 Postman 中,根据需要设置 GET/POST 等,并在您的标题中创建一个新对
X-CSRF-TOKEN tokenvaluetobeinserted235kwgeiOIulgsk
有些人建议在测试 API 时关闭 CSRF 令牌,但实际上你并不是在测试它。
如果您发现仍然有错误,请使用 preview 检查回复,因为 Laravel 的错误消息往往相当明确。如果什么都没有回来,请检查您的 php_error.log(它叫什么)。
ps 2018 年 10 月 - 我现在使用 Laravel Passport 来处理 API 注册、登录和用户令牌 - 值得一看!
【讨论】:
是的,每次刷新都会改变。您应该将其放在视图中,并且在发布时需要将其作为“_token”POST var 的值发送。
如果您只是使用标准 POST,只需将其添加到表单中:
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">
如果您使用 AJAX,请确保获取 _token 的值并将其与请求一起传递。
【讨论】:
使用邮递员
向具有<meta name="csrf-token" content="{{ csrf_token() }}"> 的任何页面发出 GET 请求
复制响应中的值。
在您的 POST 请求中添加一个标头字段:
"X-CSRF-TOKEN: "copied_token_in_previous_get_response"
【讨论】:
在我的 Postman 环境中使用 baseURL 变量时出现此错误。原来我在最后调用了没有/api 的站点的URL。听起来很傻,但为了消除用户错误,请确保您检查您的请求 URL 是否基于:
✅https://<your-site-url>/api
不是:
❌https://<your-site-url>
【讨论】:
转到app/Http/Middleware/VerifyCsrfToken.php 并添加此值
protected $except = [
'/api/*'
];
【讨论】:
将 /api 添加到 url 应该可以解决大多数人刚刚测试他们的 API 的问题......例如。 https://www.yoursite.com/api/register
【讨论】: