Laravel API의 POST 및 PUT 메서드에 대한 419 상태 코드 이해

Laravel을 사용하여 RESTful API를 개발할 때 419를 접하는 것이 일반적입니다. POST 및 PUT 메소드에 대한 상태 코드입니다. 이 오류는 Laravel의 CSRF 토큰 확인 프로세스로 인해 발생합니다.

Laravel 5.4 및 이전 버전에서는 CSRF 토큰이 POST 및 PUT 메서드를 포함한 모든 요청에 ​​대해 활성화되었습니다. 이는 CSRF(교차 사이트 요청 위조) 공격으로부터 애플리케이션을 보호하기 위한 것입니다. 기본적으로 CSRF 토큰은 양식 내의 숨겨진 필드로 보기에 추가됩니다.

POST 또는 PUT 요청이 제출되면 Laravel은 요청 데이터와 함께 유효한 CSRF 토큰을 수신할 것으로 예상합니다. 유효한 토큰이 발견되지 않으면 Laravel은 "419 CSRF 토큰 불일치" 예외를 생성하고 419 상태 코드 응답을 반환합니다.

CSRF 보호에서 경로 제외

To 이 문제를 해결하려면 CSRF 토큰 확인에서 특정 경로를 제외할 수 있습니다. Laravel 5.5 이상에서는 API 경로에 web.php 대신 api.php 파일을 사용할 수 있으며 CSRF 확인은 기본적으로 활성화되어 있지 않습니다.

API 경로에 web.php를 사용하는 경우 verifyCsrfToken 미들웨어의 $just 속성에 해당 URI를 추가하여 CSRF 토큰 확인에서 해당 URL을 제외할 수 있습니다. 예:

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    protected $except = [
        '/api/*',
    ];
}

이렇게 하면 CSRF 토큰 확인에서 /api로 시작하는 모든 경로가 제외됩니다.

비API 경로에 대한 대체 솔루션

CSRF 토큰 확인에서 경로를 제외하는 경우 CSRF 보호가 적합하지 않은 경우 경로 그룹 내의 특정 방법에 대해 CSRF 확인을 비활성화할 수 있습니다. 예:

Route::group(['middleware' => 'web'], function () {
    Route::post('/my-route', 'MyController@store')->withoutMiddleware('verify-csrf-token');
});

이렇게 하면 /my-route에 대한 POST 요청에 대한 CSRF 토큰 확인이 비활성화됩니다.