從Laravel 5.3+開始，API路徑被放入了routes/api.php中。我們絕大多數的路徑其實都會在web.php中定義，因為在web.php中定義的路徑預設有CSRF保護，而API路徑預設沒有CSRF保護。在Laravel官網文件中寫到：/p>

Any HTML forms pointing to POST,PUT,or DELETE routes that are defined in the web routes file should include a CSRF token field. Otherwise,the request will be rejected.

所以，請注意你頁面的表單中是否使用了POST、PUT或DELETE方法，如果有，並且你沒有在表單中新增相應的CSRF token時，你的請求將會失敗。

有時候，我們可能不想要CSRF保護。比如我們想使用第三方軟體測試表單提交，或者比如微信公眾號介面的開發時，當微信伺服器使用POST推送給我們訊息時，如果開啟了CSRF保護，那麼請求肯定是失敗的。

在這樣的情況下，我們可以使用API路徑來取消CSRF保護。

我們有兩種辦法來定義API Routes。

第一種辦法：

將routes放進VerifyCsrfToken這個middleware的$except數組裡：

<?php      
  
namespace App\Http\Middleware;    
  
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;    
  
class VerifyCsrfToken extends BaseVerifier    
{      
  /**      
   * The URIs that should be excluded from CSRF verification.      
   *      
   * @var array      
   */      
  protected $except = [      
    '/api/my-route',];      
}

以上middleware的位置在app/Http/Middleware資料夾中。

第二種方法：

將routes放進api.php裡：

<?php      
  
use Illuminate\Http\Request;      
  
/*      
|--------------------------------------------------------------------------      
| API Routes      
|--------------------------------------------------------------------------      
|      
| Here is where you can register API routes for your application. These      
| routes are loaded by the RouteServiceProvider within a group which      
| is assigned the "api" middleware group. Enjoy building your API!      
|      
*/      
  
Route::middleware('auth:api')->get('/user',function (Request $request) {      
  return $request->user();      
});      
  
Route::get('/wechat','WechatAPIController@some-method');      
Route::post('/wechat','WechatAPIController@some-other-method');

api.php和web.php同處於routes資料夾下。

在api.php中新增的路徑，在訪問時，我們需要在路徑前，加上api/字首：

//www.jb51.net/api/wechat

好了，這樣一來，我們就完成了API路徑的定義，或者換句話說，取消了路徑的CSRF保護。

本文主要講解了Laravel框架定義API路徑取消CSRF保護的操作方法，更多關於Laravel框架的使用技巧請檢視下面的相關連結