它肯定会产生一个全新的会话& &;令牌在执行POST时。我的会话被设置为存储在文件中,我可以在发布后直接看到一个新的会话被创建。
我仍然找不到这个的原因。任何帮助都是感激的!
更新:在进一步跟踪问题之后,我在class VerifyCsrfToken中发现验证是由protected function tokensMatch($request)
$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
return Str::equals($request->session()->token(), $token);
我从初始页面加载复制令牌(并检查其会话值),它们匹配。
Token in session & hidden (login Page first load)= wHszQpffJC0gIov17pd2ZbPqtdbFq7yZh3U2QlOe
但当POST发生时,token是不同的,并将它们进行比较。会话中的令牌被更改了。我这样检查:
echo 'Token from request= ' . $token;
echo 'Token from session= ' . $request->session()->token();
我得到这个:
Token from request= wHszQpffJC0gIov17pd2ZbPqtdbFq7yZh3U2QlOe
Token from session= sfquUx6MhPaqdMR862kDZh8qYmpKDJ0Rbdghq1iA
我在一个新的浏览器/登录尝试中这样做。为什么会话中的令牌与从登录页面携带的令牌不同?
原始问:我在新的L5.1安装上得到上述错误,不能(在阅读了许多链接后)解决这个问题。我刚来Laravel。谢谢大家的建议。
我的表单是这样的:
@extends('admin.layouts.default')
@section('content')
<div id="form" class="login">
<img src="{{ $logo }}" class="logo"/>
@include('admin.partials.message')
{!! Form::open(['url' => '/login', 'class'=>'form']) !!}
<div class="form-group">
{!! Form::label('email', 'Email:', ['class'=>'control-label']) !!}
{!! Form::email('email', null, ['class'=>'form-control', 'id'=>'email', 'required'=>'1']) !!}
</div>
<div class="form-group">
{!! Form::label('password', 'Password:', ['class'=>'control-label']) !!}
{!! Form::password('password', ['class'=>'form-control', 'id'=>'password', 'required'=>'1']) !!}
</div>
<div class="form-group text-left">
{!! Form::checkbox('remember', '1', null, ['id'=>'remember']) !!}
{!! Form::label('remember', 'Remember Me', ['class'=>'control-label']) !!}
</div>
<div class="form-group">
{!! Form::submit('Sign In', ['class'=>'btn btn-primary']) !!}
<a href="/reset-password" class="text-muted">Forgot Your Password?</a>
</div>
{!! Form::close() !!}
</div>
<?php dd(session()); ?>
@stop
我的路由是这样的:
/*
|--------------------------------------------------------------------------
| Freely available routes for login, registration, password reset etc
|--------------------------------------------------------------------------
*/
Route::group([
'middleware' => 'guest'
], function(){
// Register
Route::get('register', ['uses' => 'RegistrationController@create', 'as' => 'registration.create']);
Route::post('register', ['uses' => 'RegistrationController@store', 'as' => 'registration.create']);
// Activate
Route::get('register/activate/{uuid}', ['uses' => 'RegistrationController@activate', 'as' => 'registration.activate']); // Pattern matched
// Login/logout
Route::get('login', ['uses' => 'Auth'AuthController@getLogin', 'as' => 'session.create']);
Route::post('login', ['uses' => 'Auth'AuthController@postLogin', 'as' => 'session.create']);
Route::get('logout', ['uses' => 'Auth'AuthController@getLogout', 'as' => 'session.destroy']);
// Forgot password
Route::get('reset-password', ['uses' => 'SessionController@reset_password', 'as' => 'session.reset_password']);
// Change password
Route::get('change-password', ['uses' => 'SessionController@change_password', 'as' => 'session.change_password']);
});
页面加载和会话上的令牌看起来是一样的,由formBuilder生成。
会话: #attributes: array:1 [▼
"_token" => "EE5qv7mhhyI0cutpXOgU6jgvUR2R58RubQ5pC128"
]
HTML页:
<input name="_token" type="hidden" value="EE5qv7mhhyI0cutpXOgU6jgvUR2R58RubQ5pC128">
嗯,问题是我在www/config/session.php文件中将会话变量secure设置为true。这导致Laravel期望通过我的开发环境没有设置的HTTPS请求,从而导致服务器将每个GET或POST视为新请求。