在拉拉维尔处理过期的代币
在 laravel 5 中处理过期令牌的最佳方法是什么?
我的意思是我有一个页面,它有一些执行ajax请求的链接。当页面加载时,它们可以正常工作,但是当我等待一段时间时,我会收到一个令牌不匹配错误。
现在,我必须刷新页面才能使其再次工作。但是,我不想刷新页面。我想要一些方法来刷新令牌或其他一些解决方法来修复它。
我希望你明白我的观点。
答案 1
我认为@UX实验室的答案具有误导性。然后@jfadich的评论似乎完全不正确。
对于 2017 年 5 月的 Laravel 5.4,我通过以下方式解决了这个问题:
这是一个有效的答案
在:web.php
Route::post('keep-token-alive', function() {
return 'Token must have been valid, and the session expiration has been extended.'; //https://stackoverflow.com/q/31449434/470749
});
在你眼中的javascript中:
$(document).ready(function () {
setInterval(keepTokenAlive, 1000 * 60 * 15); // every 15 mins
function keepTokenAlive() {
$.ajax({
url: '/keep-token-alive', //https://stackoverflow.com/q/31449434/470749
method: 'post',
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
}).then(function (result) {
console.log(new Date() + ' ' + result + ' ' + $('meta[name="csrf-token"]').attr('content'));
});
}
});
请注意,不得在 中的排除项中列出。正如 @ITDesigns.eu 在注释中暗示的那样,此路由必须验证当前是否存在有效的令牌,并且只需要延长其过期时间。'keep-token-alive'VerifyCsrfToken.php
为什么这种方法可以解决我的问题
我的Laravel网站允许用户观看视频(一小时长),它使用ajax每分钟发布他们的进度。
但是许多用户加载页面,然后直到几个小时后才开始播放视频。
我不知道为什么他们在观看之前这么长时间就将浏览器选项卡打开,但他们确实如此。
然后,我会在我的日志中得到大量的TokenMismatch异常(并且会错过他们的进度数据)。
在 中,我从 120 分钟变为 360 分钟,但这仍然不够。我不想让它超过6个小时。因此,我需要启用此页面以通过ajax频繁地扩展会话。session.php'lifetime'
如何测试它并了解令牌的工作原理:
在:web.php
Route::post('refresh-csrf', function() {//Note: as I mentioned in my answer, I think this approach from @UX Labs does not make sense, but I first wanted to design a test view that used buttons to ping different URLs to understand how tokens work. The "return csrf_token();" does not even seem to get used.
return csrf_token();
});
Route::post('test-csrf', function() {
return 'Token must have been valid.';
});
在你眼中的javascript中:
<button id="tryPost">Try posting to db</button>
<button id="getNewToken">Get new token</button>
(function () {
var $ = require("jquery");
$(document).ready(function () {
$('body').prepend('<div>' + new Date() + ' Current token is: ' + $('meta[name="csrf-token"]').attr('content') + '</div>');
$('#getNewToken').click(function () {
$.ajax({
url: '/refresh-csrf',
method: 'post',
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
}).then(function (d) {
$('meta[name="csrf-token"]').attr('content', d);
$('body').prepend('<div>' + new Date() + ' Refreshed token is: ' + $('meta[name="csrf-token"]').attr('content') + '</div>');
});
});
$('#tryPost').click(function () {
$.ajax({
url: '/test-csrf',
method: 'post',
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
}).then(function (d) {
$('body').prepend('<div>' + new Date() + ' Result of test: ' + d + '</div>');
});
});
});
})();
在 中,出于测试目的,暂时更改为非常短的内容。session.php'lifetime'
然后四处玩。
这就是我如何了解Laravel令牌的工作原理,以及我们如何真正只需要经常成功发布到受CSRF保护的路由,以便令牌继续有效。
答案 2
更新2022;该方法永远不会创建新令牌,它只是从当前会话加载现有的CSRF令牌(如果有,并返回它)。csrf_token()
但这会诱使您认为它有效,因为Laravel增加了现有CSRF令牌的使用寿命,并且每次都会向受CSRF保护的路由发出请求。
有关真正创建新的 CSRF 令牌的实现,请参阅:
stackoverflow.com/ 使用Ajax获取新的CSRF令牌?
原始答案(自2015年起)
解决它的方法是,实际上每隔一段时间就获得新令牌,否则您将破坏csrf令牌的目的:
<html>
<head>
<meta name="csrf_token" content="{{ csrf_token() }}">
</head>
<body>
<script type="text/javascript">
var csrfToken = $('[name="csrf_token"]').attr('content');
setInterval(refreshToken, 3600000); // 1 hour
function refreshToken(){
$.get('refresh-csrf').done(function(data){
csrfToken = data; // the new token
});
}
setInterval(refreshToken, 3600000); // 1 hour
</script>
</body>
</html>
在拉拉维尔路线中
Route::get('refresh-csrf', function(){
return csrf_token();
});
我很抱歉,如果出现任何语法错误,已经很长时间没有使用jquery了,但我想你明白了
推荐
-
相当于Java中PHP的crypt函数 我正在将我的PHP代码迁移到Google App Engine - Java。因此,我需要一个相当于Java中PHP的crypt函数,因为我已将使用crypt的注册用户的所有密码存储在我的数据库中。 编辑1:这是我用于加密密码的php
-
需要有关如何从接受语言请求标头获取首选语言的示例 我需要一个代码示例或库来解析标头并返回我的首选语言。 指出: “接受语言请求标头”字段类似于“接受”,但限制首选作为请求响应的自然语言集。语言标记在第 3.10 节中定义。
-
无法在 Java 和 PHP 之间交换使用 AES-256 加密的数据 我的问题是:我在Java中加密的东西,我可以在Java中完全解密,但PHP不能解密。我用加密的内容可以使用 解密,但不能在 Java 中解密。 我想从Java应用程序发送和接收加密数据到PHP页面,所以我
-
-
Quercus是Java环境中PHP的可行替代品吗? 对于任何偶然发现这个问题的人,他们不知道是什么 - 它是用Java完成的PHP的实现。 对于我目前正在从事的项目,我们通过cgi在servlet上提供php页面(我知道它很笨拙,但这是支持遗留代码的要求
标签