从Laravel 5.3+开始，API路径被放入了routes/api.php中。我们绝大多数的路径其实都会在web.php中定义，因为在web.php中定义的路径默认有CSRF保护，而API路径默认没有CSRF保护，在Laravel官网文档中写到：

Any HTML forms pointing to POST, PUT, or DELETE routes that are defined in the web routes file should include a CSRF token field. Otherwise, the request will be rejected.

所以，请注意你页面的表单中是否使用了POST、PUT或DELETE方法，如果有，并且你没有在表单中添加相应的CSRF token时，你的请求将会失败。

有时候，我们可能不想要CSRF保护。比如我们想使用第三方软件测试表单提交，或者比如微信公众号接口的开发时，当微信服务器使用POST推送给我们消息时，如果开启了CSRF保护，那么请求肯定是失败的。

在这样的情况下，我们可以使用API路径来取消CSRF保护。

我们有两种办法来定义API Routes。

第一种办法：

将routes放进VerifyCsrfToken这个middleware的$except数组里：

1. <?php       
2.     
3. namespace App\Http\Middleware;     
4.     
5. use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;     
6.     
7. class VerifyCsrfToken extends BaseVerifier     
8. {       
9.   /**       
10.    * The URIs that should be excluded from CSRF verification.       
11.    *       
12.    * @var array       
13.    */      
14.   protected $except = [       
15.     '/api/my-route',       
16.   ];       
17. } 

以上middleware的位置在app/Http/Middleware文件夹中。

第二种方法：

将routes放进api.php里：

1. <?php       
2.     
3. use Illuminate\Http\Request;       
4.     
5. /*       
6. |--------------------------------------------------------------------------       
7. | API Routes       
8. |--------------------------------------------------------------------------       
9. |       
10. | Here is where you can register API routes for your application. These       
11. | routes are loaded by the RouteServiceProvider within a group which       
12. | is assigned the "api" middleware group. Enjoy building your API!       
13. |       
14. */      
15.     
16. Route::middleware('auth:api')->get('/user', function (Request $request) {       
17.   return $request->user();       
18. });       
19.     
20. Route::get('/wechat', 'WechatAPIController@some-method');       
21. Route::post('/wechat', 'WechatAPIController@some-other-method'); 

api.php和web.php同处于routes文件夹下。

在api.php中添加的路径，在访问时，我们需要在路径前，加上api/前缀：

//www.phpfensi.com/api/wechat

好了，这样一来，我们就完成了API路径的定义，或者换句话说，取消了路径的CSRF保护。

Tags: Laravel5.3+ 定义API CSRF

分享到：