Laravel 5.3+ 如何定義API路徑(取消CSRF保護)
從Laravel 5.3+開始,API路徑被放入了routes/api.php中。我們絕大多數的路徑其實都會在web.php中定義,因為在web.php中定義的路徑預設有CSRF保護,而API路徑預設沒有CSRF保護。在Laravel官網文件中寫到:
Any HTML forms pointing to POST, PUT, or DELETE routes that are defined in the web routes file should include a CSRF token field. Otherwise, the request will be rejected.
所以,請注意你頁面的表單中是否使用了POST、PUT或DELETE方法,如果有,並且你沒有在表單中新增相應的CSRF token時,你的請求將會失敗。
有時候,我們可能不想要CSRF保護。比如我們想使用第三方軟體測試表單提交,或者比如微信公眾號介面的開發時,當微信伺服器使用POST推送給我們訊息時,如果開啟了CSRF保護,那麼請求肯定是失敗的。
在這樣的情況下,我們可以使用API路徑來取消CSRF保護。
我們有兩種辦法來定義API Routes。
第一種辦法:
將
routes放進VerifyCsrfToken這個middleware的$except數組裡:
<?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ '/api/my-route', ]; }
以上middleware的位置在app/Http/Middleware資料夾中。
第二種方法:
將
routes放進api.php裡:
<?php
use Illuminate\Http\Request;
/*
|--------------------------------------------------------------------------
| API Routes
|--------------------------------------------------------------------------
|
| Here is where you can register API routes for your application. These
| routes are loaded by the RouteServiceProvider within a group which
| is assigned the "api" middleware group. Enjoy building your API!
|
*/
Route::middleware('auth:api')->get('/user', function (Request $request) {
return $request->user();
});
Route::get('/wechat', '[email protected]');
Route::post('/wechat', '[email protected]');api.php和web.php同處於routes資料夾下。
在api.php中新增的路徑,在訪問時,我們需要在路徑前,加上api/字首:
http://my-web-site/api/wechat
好了,這樣一來,我們就完成了API路徑的定義,或者換句話說,取消了路徑的CSRF保護。
轉載:https://blog.sbot.io/articles/10