token详解

最新推荐文章于 2025-08-04 14:25:15 发布
最新推荐文章于 2025-08-04 14:25:15 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: laravel 文章标签: token

获取token值

public function getCsrfToken()
{
    session()->regenerateToken();
   $token=  csrf_token();
   return response()->json(['token'=>$token]);
}
{!! csrf_field !!}

Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。

Laravel提供了一个全局帮助函数 csrf_token 来获取该Token值,因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">  该段代码等同于全局帮助函数csrf_field的输出:

Blade模板引擎中还可以使用如下方式调用:

{!! csrf_field() !!}


3、从CSRF验证中排除指定URL

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。

可以通过在VerifyCsrfTokenapp/Http/Middleware/VerifyCsrfToken.php中间件中将要排除的请求URL添加到$except属性数组中:

<?php

    namespace App\Http\Middleware;

    use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

    class VerifyCsrfToken extends BaseVerifier
    {
        /**
         * 指定从 CSRF 验证中排除的URL
         *
         * @var array
         */
        protected $except = [
            'testCsrf'
        ];
    }
 

X-CSRF-Token及其使用:

使用Ajax  提交post表单  可以把 Token  存在 meta 中

<meta name="csrf-token" content="{{ csrf_token() }}">

然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交

 

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});
 



 

Laravel中CSRF验证原理分析
 

 

1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php第90行start方法),对应源码如下:
 

 

public function start()
{
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }

    return $this->started = true;
}



VerifyToken 是中间件   ->  handle()->isReading(判断请求的方式 排除get,head,options)   -> showPassThough 判断  路由是否在$except  内排除   做了排除也不验证   最后通过   TokenMatch   方法判断   CSRF TOKEN 值和SESSION 中的TOKEN 是否相等   相同则通过验证

否则   抛出异常  :tokensMatch方法首先从Request中获取_token参数值,如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值,如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值,需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypterdecrypt方法进行解密。
 

 

2)然后重点分析VerifyToken中间件的handle方法,该方法中先通过isReading方法判断请求方式,如果请求方法是HEADGETOPTIONS其中一种,则不做CSRF验证;
 

 

3)再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除,如果做了排除也不做验证;
 

 

4)最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等,如果相等则通过验证,否则抛出TokenMismatchException异常。
 






 

对应源码如下:
 

 

public function handle($request, Closure $next)
{
    if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {
        return $this->addCookieToResponse($request, $next($request));
    }

    throw new TokenMismatchException;
}
 


 


                

        

    

    
  



    



                



	

		

			

				
					
Azure Blob Storage SAS Token 详解与实践

				
			

			

				

					m0_62153576的博客
				

				

					07-27
					
					54
					
				

			

		

		

			
				
本文介绍了Azure Blob Storage中的共享访问签名(SAS)令牌及其使用方法。SAS Token是一种安全机制,允许对存储资源进行有限权限的访问而无需共享账户密钥。文章详细说明了使用Python SDK生成SAS Token的具体步骤,包括设置账户信息、时间范围和权限控制。同时列举了三个常见问题及其解决方案:错误的blob名称、访问权限问题和不同类型的SAS Token应用场景。通过合理使用SAS Token,用户可以在保证安全性的同时灵活管理Azure存储资源的访问控制。

			
		

	



                

            
              



	

		

			

				
					
JWT之token机制与双token详解

					
热门推荐

				
			

			

				

					qq_41634455的博客
				

				

					01-13
					
					1万+
					
				

			

		

		

			
				
token机制
何为tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息
为何token

token可以减少敏感信息在网络间的传递
因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用
JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息
便于传输,jwt的构成非常简单

			
		

	



              


  
              

                


	

		

			

				
					
Laravel中如何避免CSRF攻击

				
			

			

				

					weixin_30898109的博客
				

				

					06-07
					
					457
					
				

			

		

		

			
				
Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。
Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token:
<input type="hidden...

			
		

	





	

		

			

				
					
Laravel框架CSRF攻击

				
			

			

				

					weixin_43366149的博客
				

				

					04-14
					
					232
					
				

			

		

		

			
				
在平时的生活中 我们经常遇到网络诈骗 。类似的攻击者通过各种手段给我们发送误导信息 篡改网页 内容 使我们上当受骗。而CSRF(跨站请求伪造)就是利用的网站对用户网页浏览器的信任,通过一些 技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息, 甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户 操作而去运行。这利用了web中...

			
		

	



		

			
		



	

		

			

				
					
安全:什么是 Token(令牌)?

					
最新发布

				
			

			

				

					weiweiliude2的专栏
				

				

					08-04
					
					1624
					
				

			

		

		

			
				
token 是什么,其实就是一个获取数据的权限或身份。所以翻译成“令牌”

			
		

	





	

		

			

				
					
laravel框架(CSRF攻击)【重点】

				
			

			

				

					qq_43383765的博客
				

				

					04-14
					
					533
					
				

			

		

		

			
				
一、CSRF攻击
XSS、SQL注入
1.什么是CSRF攻击?
CSRF是跨站请求伪造(Cross-site request forgey)的英文缩写

Laravel框架中避免CSRF攻击很简单:laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否为同一人,如果不是则请求失败。【该原理和验证码的原理是一致】
Laravel提供了...

			
		

	





	

		

			

				
					
laravel CSRF攻击

				
			

			

				

					qq_45844648的博客
				

				

					04-13
					
					264
					
				

			

		

		

			
				
CSRF是跨站请求伪造,
laravel框架中避免CSRF攻击:laravel自动为每个用户session生成一个CSRF Token,TokenK可用于验证避免登录用户和发起请求者是否是同一个人,如果不是,则请求失败,(类似于验证码原理)。

...

			
		

	





	

		

			

				
					
Laravel中的CSRF保护使用方法

				
			

			

				

					weixin_30407099的博客
				

				

					09-05
					
					460
					
				

			

		

		

			
				
直接将{{csrf_field()}}辅助函数
放在表单中来生成令牌字段
<form method="POST" action="/profile">
  {{ csrf_field() }} 
  ... 
</form>
如果在使用ajax时
可以将令牌存放在HTML meta标签中
<meta name="csrf-toke...

			
		

	





	

		

			

				
					
Cookie,Session,Token详解.pdf

				
			

			

				

					07-30
				

			

		

		

			
				
根据提供的文件信息,以下是对文件《Cookie,Session,Token详解.pdf》中知识点的详细解读:  1. Cookie的相关知识  1.1 Cookie不是缓存。它是由服务器创建并存储在客户端的一小段文本信息,通常以字典(键值对)的...

			
		

	





	

		

			

				
					
大语言模型(LLMs)的token详解

				
			

			

				

					极客栈
				

				

					08-12
					
					2502
					
				

			

		

		

			
				
Token是文本的最小单位,模型通过处理这些单位来理解和生成语言。单词(Words):完整的词汇单元,如“apple”、“run”。子词(Subwords):介于单词和字符之间的单元,如“unbelievable”可能被分割为“un”、“believ”、“able”。字符(Characters):单个字母或符号,如“a”、“1”、“$”。Tokenization是大预言模型处理和生成文本的基础。通过将文本分割为有意义的单元,模型可以学习语言的结构和语义,从而实现复杂的语言理解和生成任务。

			
		

	





	

		

			

				
					
【第九周】通过csrf(get)进行地址修改实验演示、token详解及常见防范措施、远程命令、代码执行漏洞原理及案例演示 等等

				
			

			

				

					weixin_44722125的博客
				

				

					05-05
					
					632
					
				

			

		

		

			
				
通过csrf(get)进行地址修改实验演示
先登陆一下


修改地址  submit即可修改


如何确认此处是否存在CSRF漏洞
首先这是一个敏感信息修改,其次看下burp数据包
GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=shenyang&email=...

			
		

	





	

		

			

				
					
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍

				
			

			

				

					10-16
				

			

		

		

			
				
对laravel的csrf 防御机制详解,及对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧

			
		

	





	

		

			

				
					
PHP-Yii框架下提交表单form防止csrf攻击

				
			

			

				

					weixin_30448685的博客
				

				

					03-31
					
					132
					
				

			

		

		

			
				
解决办法:
 在form标签下,写入一个隐藏的input控件

<form id="form_submit" action="http://v2admin.donever.me/forum/thread/robot-publish" method="post">

    <!--防止csrf攻击-->
    <input name="_csrf" t...

			
		

	





	

		

			

				
					
CSRF保护--laravel进阶篇

				
			

			

				

					xiaohuatu的博客
				

				

					11-21
					
					942
					
				

			

		

		

			
				
laravel对csrf非常重视,专门针对csrf作出了很多的保护。如果您是刚刚接触laravel的路由不久,那么您可能对于web.php路由文件的post请求很疑惑,因为get请求很顺利,而post请求则可能会遭遇失败。其中一个失败的原因是由于laravel的csrf保护引起的。指导 Laravel 来自您的 SPA 的传入请求可以使用 Laravel 的会话 cookie 进行认证。先创建2个路由,get路由负责创建blade模板,post路由就是最终的post请求。在浏览器中展示blade模板。

			
		

	





	

		

			

				
					
2019-01-05 laravel中{{}}和csrf

				
			

			

				

					yt_php的博客
				

				

					01-05
					
					613
					
				

			

		

		

			
				
laravel的csrf四种方式
一:{{csrf_field()}}
二:{!! csrf_field() !!}
三:@csrf
四:&amp;amp;amp;amp;lt;input type=&amp;amp;amp;quot;hidden&amp;amp;amp;quot; name=&amp;amp;amp;quot;_token&amp;amp;amp;quot; value=&amp;amp;amp;quot;{{csrf_token()}}&

			
		

	





	

		

			

				
					
Larvel如何防范XSS和CSRF攻击【超详解

				
			

			

				

					weixin_62754939的博客
				

				

					12-10
					
					837
					
				

			

		

		

			
				
XSS是跨站脚本攻击,攻击者通过“注入代码”,在网页中插入恶意代码,从而被浏览器执行所造成的一种攻击方式。(通常是 JavaScript),当用户访问被注入脚本的页面时,浏览器会执行该脚本,从而导致用户信息泄露、账号被盗用或其他恶意操作。CSRF(跨站请求伪造),攻击者利用用户在目标网站已经登录的状态,诱使用户在不知情的情况下访问第三方网站,而这个第三方网站会向目标网站发送伪造的请求,从而执行一些用户本意并不想执行的操作,比如转账、修改密码等。

			
		

	





	

		

			

				
					
Laravel框架对csrf攻击的处理方式

				
			

			

				

					MminQAQ的博客
				

				

					06-28
					
					623
					
				

			

		

		

			
				
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。

			
		

	





	

		

			

				
					
2019年1+X 证书 Web 前端开发中级理论考试题目原题+答案——第二套

				
			

			

				

					黛琳ghz的博客,期待你的关注。
				

				

					11-18
					
					1359
					
				

			

		

		

			
				
本文章是2019年其中一套1+X 证书 Web 前端开发中级理论考试题,其中理论题包括了单选题30题,多选题15题,判断题5题,每小题的分数为2分。

			
		

	





	

		

			

				
					
Laravel8-CSRF攻击

				
			

			

				

					weixin_59633478的博客
				

				

					03-26
					
					1566
					
				

			

		

		

			
				
文章目录一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结

一、CSRF是什么?
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。也就是说他可以凭借你已经通过身份验证的用户的一个身份来运行一个未经授权的命令,也就是说在我们知道你的网站有这么一个post提交地址,例如post提交地址

			
		

	





	

		

			

				
					
大模型token详解

				
			

			

				

					02-11
				

			

		

		

			
				
### 大型语言模型中的Token解析

#### 什么是Token?

在大型语言模型(LLM)中,Token是处理文本数据的基础单元。这些基础单元是将自然语言转换成机器可理解格式的关键步骤[^2]。

#### 标记化过程(Tokenization)

标记化是指将连续的自然语言文本分解为离散单位的过程。这个过程涉及将文本分割成更小的部分——即Tokens。每个Token可以代表一个完整的词、部分词(如子词)、或是单个字符。例如,“transformer”这个词可能会被拆解成多个子词token:“trans-”,“form-”,以及“er”。这种灵活性使得模型能更好地理解和生成少见或复合词语。

#### Token的数量限制及其原因

由于基于Transformer架构的语言模型具有较高的时间和空间复杂度,随着输入序列长度增加,计算量会迅速膨胀至难以管理的程度。因此,大多数LLM都设定了最大允许的input/output tokens数目,常见的范围是从几千到几万不等。这样的设计不仅有助于保持性能稳定,也便于开发者合理规划资源分配。

#### Tokens作为数值标识符的作用

当原始文本经过分词后得到一系列tokens时,在送入神经网络之前还需要进一步编码为计算机易于操作的形式—也就是整数ID或其他类型的向量表示。这样做的好处是可以让不同位置上的相同词汇共享相同的参数更新路径,从而提高泛化能力;同时也方便后续阶段进行注意力机制下的交互运算。

```python
from transformers import BertTokenizer

tokenizer = BertTokenizer.from_pretrained('bert-base-uncased')
text = "Transformers are amazing!"
encoded_input = tokenizer(text, return_tensors='pt')

print(encoded_input['input_ids'])
```

这段代码展示了如何利用Hugging Face提供的`BertTokenizer`类来进行简单的英文句子编码。它会输出该句对应的tensor形式的IDs列表,这就是所说的token ID序列。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值