Безопасное сохранение нового поста, laravel?

Токен-то у каждого есть. И по токену серверу непонятно какими правами обладает приславший его пользователь. Совершенно необязательно использовать токен админа, достаточно прислать свой.

Я имею ввиду не будет иметь CSRF токена админа, который обычно делают зависимым от сессии авторизованного пользователя. Т.е. у админа будет свой токен, а у пользователя свой. Даже если пользователь подставит токен админа, то он не пройдет валидацию на стороне сервера, т.к. в сессии будет лежать совсем другое значение.

дополнил ответ

Даже если пользователь подставит токен админа, то он не пройдет валидацию на стороне сервера, т.к. в сессии будет лежать совсем другое значение.

А если подставит свой, то пройдёт. И если csrf-токен - это единственная проверка, которой защищена форма, то запрос будет обработан сервером как родной.

CSRF-токен нужен для того, чтобы удостовериться, что запрос происходит с ведома пользователя, грубо говоря. Какие права имеет этот пользователь, совершенно не важно, лишь бы токен совпал с тем, что есть в сессии, как вы правильно указали.

Алексей Уколов,

Всё, я понял о чем спрашивает автор - я не внимательно читаю вопросы :)

Я трактовал вопрос так: что будет если злоумышленник создаст у себя страницу на которой будет форма с автосабмитом отправляющая пост запрос с данными на endpoint как только на нее зайдет пользователь. Затем злоумышленник пригласит на эту страницу авторизованного админа. В таком случае запрос на endpoint будет выполнен с фиктивными данными и пройдет авторизацию (т.к. админ уже авторизован), а вот csrf токен соответствовать не будет, т.к. его не будет у злоумышленника. И в итоге сервер отклонит такой запрос.

Про то, что речь идет о банальной авторизации и проверке ролей я даже не подумал и подразумевал что она и так есть.

Ваш ответ заслуженно выбран решением :)