标签: laravel-sanctum

我正在尝试实施 Sanctum SPA 身份验证。尝试登录时出现以下错误（仅在生产中）：

production.ERROR: Session store not set on request. {"userId":1,"exception":"[object] (RuntimeException(code: 0): Session store not set on request. at /app/vendor/laravel/framework/src/Illuminate/Http/Request.php:483)

遵循文档中的所有步骤。首先调用GET 请求，然后调用附加会话 cookie 的sanctum/csrf-cookieAPI POST 请求。login感谢您的任何提示！

我的login方法在 中AuthController.php，异常发生在第 28 行。

我的Http\Kernel.php文件包含 API 端点的中间件。

我的 API 端点位于routes/api.php

我目前正在学习 Laravel（进展不是特别顺利），并且我配置了一些路由来使用 sainttum 测试身份验证。

我正在构建一个仅 API 的 laravel 服务，并计划 ReactJS 项目将使用该 API。

我目前没有使用 ReactJS 并使用 Insomnia REST 客户端来测试 API。

我有一个用于注册新用户、登录的路由，然后另一个路由仅返回经过身份验证的用户以证明身份验证机制正常工作。

我对 CSRF 不太了解，但我的理解是我请求一个新的 CSRF 令牌，然后对于对 API 的每个请求，都会使用此 CSRF 令牌，因此例如当我登录并从相应的路由获取经过身份验证的用户时， CSRF 令牌 cookie 也会被发送，因此如果发送不同的 CSRF 令牌，我应该会收到令牌不匹配错误。

我正在使用 Insomnia 进行测试，方法是向 /sanctum/csrf-cookie 发送请求，该请求返回 204，Insomnia 设置 3 个 cookie，其中一个是 XSRF-TOKEN，据我所知，它是 CSRF 令牌的加密形式。

然后我成功登录，然后当我调用我的路由来获取经过身份验证的用户时，我修改或删除 XSRF-TOKEN cookie 并发送请求，然后我期望收到有关令牌不匹配的错误，但这并没有似乎是这样，我得到了有效的回复。

下面是我的 api.php（我将各种路由分组到单独的 PHP 文件中，以便在实际构建 API 时保持组织有序）

Route::prefix('/auth')->group(__DIR__ . '/endpoints/auth.php');

Route::middleware('auth:sanctum')->get('/me', function(){
    //return response(null, 200);
    return auth()->user();
});

在我的/endpoints/auth.php我有以下内容：

Route::post('/register', [UserController::class, "register"]);

Route::post('/login', [UserController::class, "login"]);

Route::middleware('auth:sanctum')->post('/logout', [UserController::class, …

我在 Laravel 8 中很好地安装了 Laravel JetStream 和 Spatie 的 laravel-permission。

我可以在注册过程中为用户分配角色

$user->assignRole('visitor');\nreturn $user;\n

并可以通过我在播种器 fil\xc3\xa9s run 方法中分配给角色的权限来限制用户仪表板上的可用菜单项：

Permission::create(['name' => 'access profile']);\nPermission::create(['name' => 'access logout']);\n\n$visitor = Role::create(['name' => 'visitor']);\n$visitor->givePermissionTo('access profile');\n

并通过视图中的 can 指令，例如：

@can('access profile')\n<!-- Account Management -->\n<div class="block px-4 py-2 text-xs text-gray-400">\n    {{ __('Manage Account') }}\n</div>\n\n<x-jet-dropdown-link href="{{ route('profile.show') }}">\n    {{ __('Profile') }}\n</x-jet-dropdown-link>\n@endcan\n

因此，我可以根据角色隐藏菜单项，但不幸的是，我仍然可以通过知道确切的 URL 直接访问该功能。

我想我必须编写一个中间件来限制对某些功能的访问，但具体怎么做呢？

在此堆栈中处理此问题的正确且可接受的方法是什么？

谢谢！\nArmand\n所以一切看起来都很好，但是（！）

如何禁止直接访问隐藏项目？我想在这种情况下，路由是由 sainttum 控制的，而角色和权限是由 Spatie 的包控制的。

是否可以将两者联系起来？

谢谢！

我有一个安装了 Next-Auth 的 NextJS 前端和一个使用 Sanctum 的 Laravel 后端当我尝试使用 Next-Auth 的登录功能登录时，它给了我这个错误：

Request failed with status code 419

419 与 CSRF 令牌有关，但我在调用登录方法之前通过调用 sainttum/csrf-cookie 路由来设置令牌

[...nextauth.js]

Request failed with status code 419

apiClient.js

CredentialsProvider
        ({
            name: 'Email and Password',
            credentials: {
                email: {label: "Email", type: "email", placeholder: "Your Email"},
                password: {label: "Password", type: "Password"}
            },
            async authorize({email, password}, req) {
                await apiClient.get("/sanctum/csrf-cookie");
                const user = await apiClient.post('/customer/login', {
                    email: email,
                    password: password,
                });

                if (user) {
                    return user
                } else {
                    return …

我们构建了一个 API（目前仅包含一条路由），以便向与我们合作的另一家公司提供特定数据的访问权限。

其他公司对我们的端点执行的 API 调用是在服务器端进行的。
该 API 是使用Laravel 8.

为了提供问题的更多背景信息，我们的系统收集我们的 GPS 设备发送的坐标，并且我们希望向其他公司提供对一组特定 GPS 设备的坐标的访问权限。
坐标存储在我们的数据库中，API 路由只是执行 SELECT 查询，仅允许访问这些特定设备的数据。

在互联网上搜索，我发现这Laravel Sanctum可以帮助提供API tokensAPI 的使用。我的问题是，我们可以用于Laravel Sanctum当前的工作流程吗？合适吗？

文档中的示例表明我们可以执行以下操作：

$user->createToken('token-name', ['server:update'])->plainTextToken;

user但是，就我而言，其他公司没有。如果 Laravel Sanctum 可以，我应该创建一个代表该公司的特定用户吗？或者也许是另一个专门针对公司的模型（和数据库表）？即使我们的情况下只有一个。