Задать вопрос
@atachrus
laravel

Laravel: нужна ли защита CSRF в API?

Реализую небольшое API, установлено всё изначально из коробки.
Route::apiResources([
            '/events'    => 'API\EventsController',
            '/schedulers' => 'API\Schedulers Controller',
        ]);

Но по маршруту обрабатываются только GET запросы, все остальные игнорируются (ошибка The page has expired due to inactivity).

Начал разбираться и понял что дело именно в CSRF. Пока закомментировал посредник "\App\Http\Middleware\VerifyCsrfToken::class,". Только он находится в секции для WEB, для API его нету.
Возможно я неправильно подхожу к разработке API ?
  • Вопрос задан
  • 3221 просмотр
Комментировать
Подписаться 4 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
Tesla
@Tesla
Для API в laravel уже есть группа посредников api в app\Http\Kernel.php.
CSRF-защита не предназначена для защиты API. API Authentication (Passport)
Ответ написан
Комментировать
Комментировать
chupacabramiamor
@chupacabramiamor
Инженегр-программист
Нужны подробности того как вы авторизируете юзера через API, потому что есть подозрение что вы при это авторизации не отдаете авторизационный токен или не используете его при запросах на защищенные узлы.
И, да. CSRF не работает в API-запросах, так как для хранения проверочного токена используются сессии, которые, в свою очередь, не используются в API.
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Бэкенд-разработчик на Laravel (Middle Level)
StreamHunt.tv
от 150 000 до 250 000 ₽
PHP / Laravel разработчик
DIGITAL SECTOR Краснодар
от 100 000 до 150 000 ₽
Программист PHP Laravel (Intern)
Strikt
До 20 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Скорректировать 3d модель в Maya autodesk
23 апр. 2024, в 15:45
10000 руб./за проект
Сделать Appsflyer ATT и всю Аналитику
23 апр. 2024, в 15:42
5000 руб./за проект
Услуги архитектора-проектировщика
23 апр. 2024, в 15:34
10000 руб./за проект
Ещё заказы