angular - 未为使用 Laravel Sanctum 和 Angular 的跨域请求设置 CSRF Cookie-6ren

angular - 未为使用 Laravel Sanctum 和 Angular 的跨域请求设置 CSRF Cookie

转载作者：行者123 更新时间：2023-12-03 19:13:04

24

4

概述

我在 http://tenant.api.hydrogen.local 本地托管了一个 Laravel 驱动的 api和 Angular 9.2 SPA 正在 http://localhost:8100 上提供服务.我最近安装了 Laravel Sanctum 进行身份验证，并按照 docs 中列出的 SPA 说明进行操作。但是 CSRF token 未附加到来自 SPA 的请求，因此我收到 CSRF token 不匹配错误。

按照指示，我首次调用 //abc.api.hydrogen.local/sanctum/csrf在随后尝试登录之前:

this.http.get('sanctum/csrf-cookie')
    .pipe(
        switchMap(result => this.http.post('auth/login', {'email': email, 'password': password}))
    );

注意:我有一个拦截器，它在请求 url 前面加上 api url '//abc.api.hydrogen.local/' 例如'sanctum/csrf-cookie' 将变成 '//abc.api.hydrogen.local/sanctum/csrf-cookie'

来自 sanctum/csrf-cookie 的响应与预期的 header 一起返回:

Access-Control-Allow-Credentials: true
Set-Cookie: XSRF-TOKEN=eyJpdiI6Ilc3UkRLR1BSZ29TWVh3ZWZEQ3Y4aGc9PSIsInZhbHVlIjoiRUZBZXNFWTlZbWo5QWhIeWsrRmpjNUZVWkExSGtaT1hzUTVnSXpoaGQ4c3dFc2VLNjZsUHlUVWFmbG1uVVdKZSIsIm1hYyI6ImU1ZTAxNGFmMjAwNWRiMDhiODFjMGZhYTljYmU1NmRjYTUzYTNmNDJjNWM3YmQyM2FkY2I2OGYwNjYzNGU2MjkifQ%3D%3D; expires=Thu, 30-Apr-2020 13:35:06 GMT; Max-Age=7200; path=/; domain=localhost
Access-Control-Allow-Origin: http://localhost:8100

但是，当我查看浏览器控制台时，在存储 > cookie 中没有看到任何设置。此外，后续对“login/”的调用没有附加 cookie，并且我收到了 CSRF token 不匹配错误。

我已经阅读了大量详细介绍类似问题的帖子，并实现了他们的建议和配置，包括以下内容:

Laravel API

在 .env 中，我设置了 SESSION_DRIVER=cookie 和 SESSION_DOMAIN=localhost:8100

在 config/sanctum 中，我已将 localhost:8100 添加到有状态域

在 config/cors 中，我设置了 support_credentials = true 并允许所有路径、标题和来源(使用“*”值)

Angular SPA

我已经实现了一个全局拦截器，将 withCredentials = true 设置为所有请求

我确保我的 api 调用使用//abc.api.hydrogen.com/而不是 http://abc.api.hydrogen.com/

我还尝试了一个拦截器来按照推荐的方式设置 X-XSRF-TOKEN header here但是提取的 token 为空，因为它们尚未在浏览器中设置

最佳答案

出现此问题是因为浏览器/angular 只会将 cookie 附加到与请求来自的域具有相同域的请求。

为了在 localhost 上提供 angular 应用程序并且 Laravel 应用程序位于 abc.api.hydrogen.local 之类的域中的开发环境中解决此问题，我代理了来自 angular 应用程序的请求:

首先确保您的请求是相对路由，例如我将调用更改为/api/sanctum/crsf，然后将其代理到 http://abc.api.hydrogen.local/sanctum/crsf

然后创建代理配置proxy.conf.json在项目的根目录中:

{
    "/api/*": {
      "target": "http://abc.api.hydrogen.local",
      "secure": false,
      "changeOrigin": true,
      "logLevel": "debug",
      "pathRewrite": {
        "^/api": ""
      }
    }
}

然后编辑 angular.json在服务时使用代理:

"architect": {
    ...
    "serve": {
        ...
        "options": {
            ....
            "proxyConfig": "proxy.conf.json"
        }
    }
}

最后在您的 .env文件添加以下内容以确保 sanctum 将请求识别为来自第一方 SPA，并且浏览器能够读取 cookie 并将其附加到请求中。

SANCTUM_STATEFUL_DOMAINS=localhost,.hydrogen.local
SESSION_DRIVER=cookie
SESSION_DOMAIN=localhost

现在一切正常。

关于angular - 未为使用 Laravel Sanctum 和 Angular 的跨域请求设置 CSRF Cookie，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/61535144/

24

4

0

文章推荐： python - 具有多个 bool 条件或多个函数的函数？

文章推荐： delphi - 将2个字节转换为小整数

文章推荐： python - 如何使用 bqplot 在散点图中插入工具提示

grails - 为什么IP(域)地址重定向到localhost而不是Grails中的IP(域)
这是我的本地域名 http://10.10.1.101/uxsurvey/profile/dashboard 在 Controller 中，我为用户列表设置了一个操作 redirect(control
dns - 规范 URL 的 www 域 IP 地址和非 www 域 IP 地址
要处理 Canonical URL，最佳做法是执行 301 重定向还是更好地为 www 和非 www 域使用相同的 IP 地址？例如: 想要的规范 URL/域是 http://example.com
内网之工作组、域分析
1 内网基础内网/局域网（Local Area Network，LAN），是指在某一区域内有多台计算机互联而成的计算机组，组网范围通常在数千米以内。在局域网中，可以实现文件管理、应用软件共享、打印机
内网之工作组、域分析
1 内网基础内网/局域网（Local Area Network，LAN），是指在某一区域内有多台计算机互联而成的计算机组，组网范围通常在数千米以内。在局域网中，可以实现文件管理、应用软件共享、打印机
用于物理上分离的托管服务器的 Weblogic 域
我想创建一个 weblogic 集群，其中有两个托管服务器，每个服务器在物理上独立的远程计算机上运行根据weblogic文档 All Managed Servers in a cluster mus
Grails 域 - 多个多对多关系
我正在运行 grails 3.1.4，但在创建允许我将多个域对象绑定(bind)到其他几个域对象的模式时遇到了问题。作为我正在尝试做的一个例子: 我有三个类(class)。书籍、作者和阅读列表。作者
ios - 域@count查询问题
我试图使用@count函数来根据它获取数据，但是在没有崩溃报告的情况下它以某种方式崩溃了。这是代码 class PSMedia: Object { @objc dynamic var id
PostgreSQL 域 : no numbers
有谁知道是否有办法只输入字母字符而不输入数字？我想过这样的事情 CREATE DOMAIN countryDomain AS VARCHAR(100) CHECK( VALUE ??? );
具有子字典匹配的 JavaScript 域
我的代码: const checkoutUrl = 'https://example.com/checkout/*' window.onload = startup() function st
PHP setcookie 域
一些不是我编写的应用程序，也不是用 PHP 编写的，它为域 www.example.com 创建了一个 cookie。我正在尝试替换该 cookie。所以在 PHP 中我做到了: setcookie
oauth - 什么是 oauth 域
什么是 oauth 域？是否有任何免费的 oauth 服务？我可以将它用于 StackApps registration 吗？？我在谷歌上搜索了很多，但找不到答案。最佳答案这是redirect_
regex - 电子邮件正则表达式将如何处理新的 unicode 域？
自从 In October 2009, the Internet Corporation for Assigned Names and Numbers (ICANN) approved the cre
apache - 更改 Cookie 域
我使用 apache 作为我的应用程序 Web 服务器的代理，并希望即时更改与 sessionid cookie 关联的域名。该cookie有一个与之关联的.company.com域，我想使用apa
cloudflare - 是否可以仅在cloudflare上托 pipe 域
我只想托管一个子域到cloudflare。我不想将主域名的域名服务器更改为他们的域名服务器。真的有可能吗？最佳答案是的，这是可能的，但是需要通过CloudFlare合作伙伴进行设置，或者您需要采用
unix - AF_UNIX 域 - 为什么只使用本地文件名？
When using socket in the UNIX domain, it is advisable to use path name for the directory directory m
grails - 如何实现 "remote"域？
想象两个共享一个域类的 Grails 应用程序。也许是 Book 域类。一个应用程序被标识为数据的所有者，一个应用程序必须访问域数据。类似于亚马逊和亚马逊网络服务。我想拥有的应用程序将使用普通的域
JavaScript 正则表达式 - 域 URL
我有一个包含字段“URL”的表单。第一部分需要用户在文本框中填写。第二部分是预定义的，显示在文本框的右侧。例如，用户在文本框中输入“test”。第二部分预定义为“.example.com”。因此，总
Azure 域 Controller 关闭释放
如果我要关闭并取消分配 azure 中的域 Controller ，从而生成新的 vm Generationid，我需要采取哪些步骤来恢复它？最佳答案 what steps do I need to
azure - 更改免费试用帐户上的 Azure 域
我想尝试使用 Azure 作为托管提供商(我有一个域)。我读过那篇文章https://learn.microsoft.com/en-us/azure/app-service-web/web-sites
windows - 从Docker容器访问Windows文件共享(域)内的伪像
所以.... 我想知道是否有人可以在这方面协助我？基本上，我已经创建了一个自托管的Docker容器，用作构建代理(Azure DevOps) 现在，我已经开始测试代理，并且由于我们的放置文件夹位于W

首页

博学

6Ren·AI

商城