Laravel X-CSRF Token incompatibilité avec FACTEUR

J'essaie de parler à mon API REST construit avec Laravel. Mais l'appel avec FACTEUR est rejetée en raison d'un jeton d'incompatibilité. Je suppose que j'ai besoin d'inclure le jeton CSRF dans l'en-tête. Mais ai-je besoin d'un chiffré? Lorsque j'insère cette marque que j'ai toujours l'erreur qu'il y a un jeton d'incompatibilité.

- Je récupérer mon jeton à l'aide de:

$encrypter = app('Illuminate\Encryption\Encrypter');
$encrypted_token = $encrypter->encrypt(csrf_token());
return $encrypted_token;

mais est-ce censé changer à chaque actualisation?

OriginalL'auteur sesc360 | 2015-06-10

  1. 10

    Si vous n'êtes pas à l'aide de formulaires pour une API par exemple - vous pouvez suivre les étapes ici https://gist.github.com/ethanstenis/3cc78c1d097680ac7ef0:

    Essentiellement, ajoutez les lignes suivantes à votre lame ou des rameaux de l'en-tête

    <meta name="csrf-token" content="{{ csrf_token() }}">

    Installer Facteur Intercepteur si pas déjà installé, et que vous l'allumez

    Puis, dans votre navigateur, ouvrez une session dans le site (vous devez être autorisé), et soit inspecter l'élément ou de l'affichage de la source pour récupérer le jeton

    En Facteur, set GET/POST etc en tant que de besoin, et dans votre en-tête de créer une nouvelle paire

    X-CSRF-TOKEN        tokenvaluetobeinserted235kwgeiOIulgsk

    Certaines personnes vous recommandons de désactiver le jeton CSRF lors du test de l'API, mais vous n'êtes pas vraiment le tester vous aussi.

    Si vous trouvez que vous avez encore des erreurs, voir la réponse à l'aide de preview que Laravel a tendance à être assez explicite avec leurs messages d'erreur. Si rien n'est de retour, vérifiez votre php_error.log (ce que jamais, il est appelé).

    ps Oct 2018 - je maintenant de l'utilisateur Laravel Passeport pour la manipulation de l'API de l'enregistrement, des connexions et des jetons utilisateur vaut le coup d'oeil!

    Vous écrire un test unitaire pour CSRF si nécessaire et pour d'autres tests, vous pouvez la désactiver... vous demande quelque chose comme "je veux tester certains admin fonctionnalité d'Un, mais j'ai besoin d'être connecté, de sorte que j'ai également tester le journal dans les fonctionnalités, alors que je suis en train de tester Une fonctionnalité". Pas de test CSRF à chaque poste/patch/est OK - si vous avez séparée de l'unité de test à proprement pour CSRF.

    OriginalL'auteur brianlmerritt

  2. 3

    Oui il change à chaque actualisation. Vous devriez le mettre dans la vue lors de la poste, il doit être envoyé en tant que valeur de la "_token" POST var.

    Si vous êtes tout simplement à l'aide d'un POST, il suffit d'ajouter ce pour la forme:

    <input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

    Si vous êtes en utilisant AJAX assurez-vous de prendre la valeur de _token et la transmettre avec la demande.

    REF: http://laravel.com/docs/5.1/routing#csrf-protection

    OriginalL'auteur James Taylor

  3. 0

    Utilisation Facteur

    Faire une requête GET vers une page qui a

    <meta name="csrf-token" content="{{ csrf_token() }}">

    Copie de la valeur de la réponse.

    Ajouter un champ d'en-tête à votre requête POST:

    "X-CSRF-TOKEN: "copied_token_in_previous_get_response"

    OriginalL'auteur Katsum0to