一般为了会采用session和token两种方案的其中一种,来保持一段时间内的会话。
第一个问题:laravel框架:采用的{{Csrf_field}}和{{Csrf_token}}的写法,那么是否可以认为laravel默认采用了token的解决方案?
第二个问题:在API模式下,采用laravel写一个api,让前端调用,那么这种场景下,token如何使用呢?
csrf_token 是防止CSRF攻击的, 是给前台用的, 当使用api路由时 , laravel将不再校验csrf_token, api鉴权就是用户认证 如果你想防止重放攻击就要额外做相关的逻辑
token 一般放在header中哈,后端可以做一个兼容,在get或post参数中也能获取。 $token = request()->bearerToken() ?: request()->input('token', '');
csrf_token是csrf攻击,根据当前url生成缓存,至于缓存的驱动根据配置来,并不是鉴权的,laravel的鉴权默认web是session,但是laravel的session是框架自己实现的,不是php原生的,驱动也是可以配置的
第二个问题,可参考laravel的文档,API 认证《Laravel 6 中文文档》 API认证。 将token放到headers头中,通过鉴权方法去认证token。 或者也可通过 在login时,生成token,并存入缓存,利用中间件去判断。
CSRF token 主要用于防止跨站请求伪造攻击,而 HTTP token 则可以用于验证用户的身份或者在客户端和服务器之间传递信息。
粤ICP备18099781号-6
|
粤公网安备 44030502004330号
|
违法和不良信息举报
由 Summer 设计和编码 ❤
请登录
关于 LearnKu
第二个问题,可参考laravel的文档,API 认证《Laravel 6 中文文档》 API认证。 将token放到headers头中,通过鉴权方法去认证token。 或者也可通过 在login时,生成token,并存入缓存,利用中间件去判断。