laravel5.8,权限认证使用的是默认的auth包。登录状态下ajax请求能够正常运行,一旦登录过期,那么ajax请求不是返回的未登录错误,而直接是“CSRF token mismatch.”,请求时,header和postfields中都有CSRF token信息,但还是报错。请大声指教。
@moocky 重新捋了一下 知道了为什么会出现这个问题
App\Http\Kernel.php 文件的 $middlewareGroups 数组下的 web 是这个路由下所有的请求都要走的过滤器。
走完这些过滤器,才会走 auth 对应的过滤器。
那么也就知道了为什么会先报 CSRF token mismatch. 的异常,而不是先提示登录过期的问题了。
可以把 $middlewareGroups 数组中的 AuthenticateSession 过滤器的注释去掉,使之有效。这样应该就是你要的效果了。但是为什么框架默认是注释的,我要在看看。
@moocky 原因已经调查清楚了,还是执行过滤器顺序问题导致的,具体可以看这个帖子CSRF过滤器执行顺序。
为什么把 AuthenticateSession 注释去掉就好用了呢?
这个和 $middlewarePriority 数组有关系,当 AuthenticateSession 有效后,会通过排序机制将 Authenticate 过滤器放置在 VerifyCsrfToken 之前执行,所以就不会有问题了。调整登录页面不是 AuthenticateSession 过滤器做的工作,这也是调查比较费时间的地方。
没仔细看你说的啥,laravel 的VerifyCsrfToken中间件里面是可以配置哪些不需要csrf的
请登录
关于 LearnKu
粤公网安备 44030502004330号
可以把
$middlewareGroups数组中的AuthenticateSession过滤器的注释去掉,使之有效。这样应该就是你要的效果了。但是为什么框架默认是注释的,我要在看看。