如何在 Laravel 5.x 中注销过期会话？

Question

最新版本的 Laravel（正确地）使用 POST 来注销会话。这样做的原因是 GET/HEAD 应该只用于符合 HTTP 的被动操作。

使用 csrf 令牌发布还可以防止恶意用户/站点将您从会话中注销： https://security.stackexchange.com/questions/62769/must-login-and-logout-action-have-csrf-protection

但是如果会话已经超时，并且用户单击注销（这会触发 POST 到注销路由），则会收到令牌不匹配错误。这是有道理的 - 令牌不匹配，因为会话已过期。

我可以根据请求变量捕获特定的 TokenMismatchException，如果是这样，继续他们愉快的方式（到注销的重定向路径，比如“home”或“/”）。像这样：

public function render($request, Exception $e)
{
    if ($e instanceof TokenMismatchException && $request->getRequestUri() === '/logout') {
        return redirect('/');
    }

    return parent::render($request, $e);
}

我的问题是：如果我这样做，首先令牌的意义是什么？以及如何在用户会话过期时注销用户，同时保持使用带有 CSRF 令牌的 POST 注销的预期结果？

Answer 1

对于 Laravel 5.7，请参阅下面的更新

---

检查身份验证的中间件应该在检查 CSRF 令牌有效性的中间件之前运行。

这样，当会话过期时，您将永远不会首先进行 CSRF 检查，因为您已经在身份验证中间件中检查了会话过期并重定向到那里的登录页面。

这不会影响有效会话退出的CSRF保护，因为有效会话会通过认证中间件。

默认情况下，Laravel 中间件首先运行 CSRF 检查。但是，应该很容易将它们重新排序以另一种方式工作。

---

对于 Laravel 5.7：

在 Laravel 5.7 中，Illuminate\Foundation\Http\Kernel 类有一个新字段：

/**
 * The priority-sorted list of middleware.
 *
 * This forces non-global middleware to always be in the given order.
 *
 * @var array
 */
protected $middlewarePriority = [
    \Illuminate\Session\Middleware\StartSession::class,
    \Illuminate\View\Middleware\ShareErrorsFromSession::class,
    \Illuminate\Auth\Middleware\Authenticate::class,
    \Illuminate\Session\Middleware\AuthenticateSession::class,
    \Illuminate\Routing\Middleware\SubstituteBindings::class,
    \Illuminate\Auth\Middleware\Authorize::class,
];

出现在此字段中的中间件类始终按照它们出现的顺序运行。该字段的默认设置如上所示。 （Laravel 入门项目对这个列表只有一处更改：\App\Http\Middleware\Authenticate::class 而不是 \Illuminate\Auth\Middleware\Authenticate::class。）

如果您将 CSRF 中间件添加到列表中（身份验证中间件下方的任何位置），则应确保它始终按您想要的顺序运行。