Как избавится от 419 PAGE EXPIRED laravel 8?

Question

[Глеб]

При подключении платёжной системы с толкнулся такой проблемой, при просмотре платежа со стороны платёжной системы вылазит ошибка Ответ сервера: 419 PAGE EXPIRED из-за этого платежи на сайт мой не доходят. Платёжная подключается к payment/hadle к post запросу.
Web.php

Route::group(['prefix' => '/payment'], function () {
    Route::post('/handle', [MainController::class, 'checkPayment']);
    Route::get('/fail', [MainController::class, 'fail']);
    Route::get('/success', [MainController::class, 'success']);
});

MainController:

public function checkPayment(Request $r) {
        $hash = hash('sha256',$_POST['shop_id'].$_POST['amount'].'SecretKey'.$_POST['id']); // генерируем hash на вашей стороне
        if($hash != $_POST['hash']){ // сравниваем полученные hash
            exit('NO HASH');
        }

        $payment = Payments::where('id', $r->label)->first();
        if(!$payment) return 'Платеж не найден';

        $user = User::where('id', $payment->user_id)->first();

        $user->balance+= $payment->amount;
        $user->save();
        $payment->status = 1;
        $payment->save();
        
        exit('200');
    }

Comments

[JhaoDa]

Судя по коду, ты документацию не читал и не понимаешь что делаешь, а просто копипастишь...

[Дмитрий]

FRYST3, https://qna.habr.com/q/555117

[Глеб]

Дмитрий, Функция checkPayment не имеет своей view, где мне для неё прописать csrf?

[Дмитрий]

FRYST3, там где юзер кнопку нажимает или ещё что, где есть вьюха

[Глеб]

Дмитрий, Ну тогда там добавлен meta тэг

[lil_koi]

зачем ты используешь глобальные переменные, когда ты в методе получаешь Request $r?

Answer 1

[Глеб]

Вообщем решение проблемы было таковым:
Указать в VerifyCsrfToken исключение для payment

<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;

class VerifyCsrfToken extends Middleware
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array<int, string>
     */
    protected $except = [
        'payment/*',
    ];
}

Comments

[JhaoDa]

Неужели почитал документацию?

[Глеб]

JhaoDa, Нет, не читал, но если бы ты знал мог бы и помочь.

[JhaoDa]

Глеб, помогаю: начни читать документацию.

[Вячеслав Плиско]

JhaoDa, ну какая документация. Он же реально платёжный запрос собрался делать без токена. Про DI не знает. Данные таскает не из реквеста, а из POST, значит и про тесты не слышал. Про update моделей не слышал. Что такое транзакции, зачем они нужны? Про логирование не догадывается. Про респонс так же. exit('200') думает небось что так заголовки посылаются.

Хорошо, если он для себя делает. А если на заказ, то на памятнике выгравируют - за то что документацию не читал.

[JhaoDa]

Вячеслав Плиско, да я, в общем-то, первым каментом к вопросу об этом написал...

[Глеб]

Вячеслав Плиско, Ты гений, во первых не беру я данные из request потому что там не надо их брать из строк это проверка платежа, там где надо данные брать из полей я брал их через request. Во вторых exit('200') будет отображаться на стороне платёжной системы и будет обозначать что платёж прошёл. В третьих без токета я сделал только проверку платежа только. Конечно я может не имею того опыта как ты, но на данный момент я учусь это делать место того как критиковать ты бы сказал как лучше сделать, поделится опытом и т.д

[Вячеслав Плиско]

Глеб, я как раз подсказываю в чём проблема и привёл подробный список. А вы вместо чтения документации и проверки, начинаете лезть в бутылку.
Как у вас данных в реквесте есть, но вы ихз берете из POST, почитайте документацию по Request https://laravel.com/docs/9.x/requests и заодно по валидации https://laravel.com/docs/9.x/validation#form-reque...

По поводу exit, смешной момент в том, что выше вы пишете return 'Платеж не найден'; Нигде в документации не пишут использовать exit для вывода, это останавливает работу всего фреймворка. Нужно делать return, а лучше использовтаь https://laravel.com/docs/9.x/responses

Такое чувство, что код писало 2 разных человека. Прочтите полностью. документацию перед работой. Это час-два занимает.

[Глеб]

Вячеслав Плиско, Это по документации платёжной системы так что делаю через exit. А так я всегда использую return

[JhaoDa]

Глеб, просто ты не понимаешь, что делаешь, а тупо копипастишь. А когда тебя тыкают носом в бредовость твоих утверждений, начинаешь выдумывать всякую дичь.