关于token的一个问题。

csrf_token 是防止CSRF攻击的, 是给前台用的, 当使用api路由时 , laravel将不再校验csrf_token, api鉴权就是用户认证 如果你想防止重放攻击就要额外做相关的逻辑

token 一般放在header中哈，后端可以做一个兼容，在get或post参数中也能获取。 $token = request()->bearerToken() ?: request()->input('token', '');

csrf_token是csrf攻击，根据当前url生成缓存，至于缓存的驱动根据配置来，并不是鉴权的，laravel的鉴权默认web是session，但是laravel的session是框架自己实现的，不是php原生的，驱动也是可以配置的

第二个问题，可参考laravel的文档，API 认证《Laravel 6 中文文档》 API认证。 将token放到headers头中，通过鉴权方法去认证token。 或者也可通过 在login时，生成token，并存入缓存，利用中间件去判断。

CSRF token 主要用于防止跨站请求伪造攻击，而 HTTP token 则可以用于验证用户的身份或者在客户端和服务器之间传递信息。