Laravel CSRF保护

在代码的哪个部分触发了令牌的创建？在查看帮助程序文件后。

/vendor/laravel/framework/src/Illuminate/Foundation/helpers.php

csrf_token()助手方法的定义，调用token方法。

/vendor/laravel/framework/src/Illuminate/Session/Store.php

如果您检查调用regenerateToken()的start()函数，如果_token未设置，则会将一个随机的40个字符的字符串保存到会话中，并使用_token作为键。

/**
 * Regenerate the CSRF token value.
 *
 * @return void
 */
public function regenerateToken()
{
    $this->put('_token', Str::random(40));
}

2. 创建后令牌存储在哪里，cookie中？会话中？如何提取和查看已存储的内容？这一切是否实际由session.php控制？

令牌存储在会话中，您可以使用session('_token')来提取它。会话过期时间由session.php控制。

'lifetime' => env('SESSION_LIFETIME', 120),

'expire_on_close' => false,

当我重新加载页面时，这意味着什么？令牌是否与session.php的默认生存期120分钟相同？
如果您检查 /vendor/laravel/framework/src/Illuminate/Session/Store.php 中的 start() 函数。

/**
 * Start the session, reading the data from a handler.
 *
 * @return bool
 */
public function start()
{
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }

    return $this->started = true;
}

如果会话中没有 _token，则会重新生成令牌。因此，在会话过期之前，_token 将保持不变。

在我的情况下，从.env文件中删除APP_URL=http://localhost解决了CSRF令牌的问题。我不会为本地开发配置固定值的APP_URL，因为我总是通过浏览器使用不同的主机名和端口。