了解 Laravel API 中 POST 和 PUT 方法的 419 状态码

使用 Laravel 开发 RESTful API 时，经常会遇到 419 POST 和 PUT 方法的状态代码。此错误是由于 Laravel 的 CSRF 令牌验证过程所致。

在 Laravel 5.4 及更早版本中，所有请求都启用了 CSRF 令牌，包括 POST 和 PUT 方法。这是为了保护应用程序免受跨站点请求伪造 (CSRF) 攻击。默认情况下，CSRF 令牌作为表单中的隐藏字段添加到视图中。

提交 POST 或 PUT 请求时，Laravel 期望收到有效的 CSRF 令牌以及请求数据。如果未找到有效令牌，Laravel 会生成“419 CSRF 令牌不匹配”异常并返回 419 状态代码响应。

从 CSRF 保护中排除路由

To要解决此问题，您可以从 CSRF 令牌验证中排除某些路由。在 Laravel 5.5 及以上版本中，您可以使用 api.php 文件代替 web.php 进行 API 路由，并且默认情况下不启用 CSRF 验证。

如果您使用 web.php 进行 API 路由，则可以通过将它们的 URI 添加到VerifyCsrfToken 中间件的 $ except 属性来将它们排除在 CSRF 令牌验证之外。例如：

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    protected $except = [
        '/api/*',
    ];
}

这将从 CSRF 令牌验证中排除以 /api 开头的所有路由。

非 API 路由的替代解决方案

如果排除来自CSRF 保护不合适，您可以对路由组内的特定方法禁用 CSRF 验证。例如：

Route::group(['middleware' => 'web'], function () {
    Route::post('/my-route', 'MyController@store')->withoutMiddleware('verify-csrf-token');
});

这将禁用对 /my-route 的 POST 请求的 CSRF 令牌验证。