質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

Q&A

解決済

1回答

2384閲覧

laravel_sessionとXSRF-TOKENの動作

pont

総合スコア1

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

0グッド

0クリップ

投稿2020/11/25 02:06

laravelのセッション周りで既存システムがどのようになっているか調査していますが
laravel_sessionとXSRF-TOKENの生成タイミングや、チェックタイミング、破棄タイミングがわかりません。
laravelは完全にapiとして利用しており、view側は別の言語で構成してます。
viewとの受け渡しは
①laravelでアクセスされるとlaravel_sessionやXSRF-TOKENを生成(?)
②レスポンスヘッダに組み込まれる
③ブラウザにクッキーがセットされる
④axiosでクッキーから値を取得し、APIコール時にリクエストヘッダに組みこまれる
という流れと理解しています。

api.phpを使用しており、Kernelは下記の設定をしています。
app/Http/Kernel.php

protected $middlewareGroups = [ 'api' => [ \App\Http\Middleware\EncryptCookies::class, \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class, \Illuminate\Session\Middleware\StartSession::class, \Illuminate\View\Middleware\ShareErrorsFromSession::class, \App\Http\Middleware\VerifyCsrfToken::class, \Illuminate\Routing\Middleware\SubstituteBindings::class, 'throttle:60,1', 'bindings', ], ];

またsession.phpは以下です。
config/session.php

'driver' => env('SESSION_DRIVER', 'file'), 'lifetime' => env('SESSION_LIFETIME', 120), 'expire_on_close' => false, 'encrypt' => false, 'files' => storage_path('framework/sessions'), 'connection' => env('SESSION_CONNECTION', null), 'table' => 'sessions', 'store' => env('SESSION_STORE', null), 'lottery' => [2, 100], 'cookie' => env( 'SESSION_COOKIE', Str::slug(env('APP_NAME', 'laravel'), '_').'_session' ), 'path' => '/', 'secure' => env('SESSION_SECURE_COOKIE', true), 'http_only' => true, 'same_site' => 'None',

laravel_sessionについてはAPIが呼ばれたタイミングでframework/sessions/配下に作成されているのは確認できました。
laravel_sessionを認証したり破棄したりするのは、どこかで処理を記載しないと行われないのでしょうか?
それともlaravelが既存で必ずやっているものでしょうか?(その場合、どこで行われているのでしょうか?)

またXSRF-TOKENについても
「いつ生成されて」「いつどのようにチェックされて」「いつ破棄しているのか」がみつけられていません。

わからないことが多く、申し訳ありませんが、お力添え頂けますと幸いです。
よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

セッションに関してはどう答えて良いか分かりませんが、XSRF-TOKENでしたら、
Illuminate\Foundation\Http\Middleware\VerifyCsrfToken
をご確認いただくと良いと思います。

投稿2020/11/25 08:52

nshiro

総合スコア185

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

pont

2020/11/30 11:08

ありがとうございます! Illuminate\Foundation\Http\Middleware\VerifyCsrfToken と セッションは Illuminate\Session\Middleware\StartSession::class, あたりを調べ、軽く理解できたように思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問