Ошибка CSRF для неавторизованного пользователя NUXT + Larave, как исправить?

Question

[Дмитрий Кузнецов]

Добрый день. Имеется проект Nuxt + Laravel на разных доменах. Есть роут (api.php) для получение списка данных. Для авторизованного пользователя работает всё хорошо, а вот для гостя выдаёт ошибку "CSRF token mismatch.".
Если из Kernel.php убрать строку "\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class," в массиве
api $middlewareGroups, то работает хорошо.

protected $middlewareGroups = [
        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ],

        'api' => [
            \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class, // Вот эта строка ломает всё
            'throttle:api',
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ],
    ];

Как мне исправить эту ошибку? Для гостей этот роут должен быть рабочим.

Answer 1

[toratoda]

У посредника App\Http\Middleware\VerifyCsrfToken есть свойство $except в нем можно указать роуты для которых следует исключить сsrf проверку

Comments

[Дмитрий Кузнецов]

А есть другие способы ещё? Не хочется каждый роут прописывать в этот список. Ибо их будет много.

[toratoda]

можно к группе роутов или к конкретному роуту дописывать: ->withoutMiddleware(VerifyCsrfToken::class) .
Пример:

Route::post('/user/notification-read/', UserNotificationController::class)
    ->withoutMiddleware(VerifyCsrfToken::class)
    ->name('admin.user.notification.read');