一般为了会采用 session 和 token 两种方案的其中一种,来保持一段时间内的会话。
第一个问题:laravel 框架:采用的 {{Csrf_field}} 和 {{Csrf_token}} 的写法,那么是否可以认为 laravel 默认采用了 token 的解决方案?
第二个问题:在 API 模式下,采用 laravel 写一个 api,让前端调用,那么这种场景下,token 如何使用呢?
第二个问题,可参考 laravel 的文档,API 认证《Laravel 6 中文文档》 API 认证。 将 token 放到 headers 头中,通过鉴权方法去认证 token。 或者也可通过 在 login 时,生成 token,并存入缓存,利用中间件去判断。
csrf_token 是防止 CSRF 攻击的,是给前台用的,当使用 api 路由时,laravel 将不再校验 csrf_token, api 鉴权就是用户认证 如果你想防止重放攻击就要额外做相关的逻辑
token 一般放在 header 中哈,后端可以做一个兼容,在 get 或 post 参数中也能获取。 $token = request ()->bearerToken () ?: request ()->input ('token', '');
csrf_token 是 csrf 攻击,根据当前 url 生成缓存,至于缓存的驱动根据配置来,并不是鉴权的,laravel 的鉴权默认 web 是 session,但是 laravel 的 session 是框架自己实现的,不是 php 原生的,驱动也是可以配置的
第二个问题,可参考 laravel 的文档,API 认证《Laravel 6 中文文档》 API 认证。 将 token 放到 headers 头中,通过鉴权方法去认证 token。 或者也可通过 在 login 时,生成 token,并存入缓存,利用中间件去判断。
CSRF token 主要用于防止跨站请求伪造攻击,而 HTTP token 则可以用于验证用户的身份或者在客户端和服务器之间传递信息。
粤ICP备18099781号-6
|
粤公网安备 44030502004330号
|
违法和不良信息举报
由 Summer 设计和编码 ❤
请登录
关于 LearnKu
推荐文章: