Проблема Passport?

Question

[Artem0071]

Как правильно заставить работать вот это?

CreateFreshApiToken подключил

Теперь, когда отправляю запрос на /test (то есть на "web"), аутентификация проходит как надо:

Auth::check(); // true
Auth::user(); // User model

Но когда я оттправляю запрос на /api/test (то есть на "api"), аутентификация уже не проходит:

Auth::check(); // false
Auth::user(); // null

В куках все вроде как отправляется:
Cookie: laravel_token=eyJpdiI6IjRnY1...

Никак не пойму что не так

Answer 1

[Константин Б.]

Потому что нужно читать доку, там же понятным языком написано, что CreateFreshApiToken генерит токен и кладет в ку-ку. Но это вовсе не значит что он все делает за вас. Вам нужно на фронте получить токен из куки и отправить его заголовком behavior

Типа такого нужно юзать

let bearer = Cookies.get('access_token');
if (bearer) {
    window.axios.defaults.headers.common['Authorization'] = bearer
}

Comments

[Artem0071]

А где брать этот самый access_token?

[Artem0071]

Или access_token это и есть Laravel_token?

[Artem0071]

В доках написано, что нужно только добавить CreateFreshApiToken в web middleware group, что я и сделал
Сам laravel_token генерирится и кладётся в куку
Эта кука передаётся в запросе

This Passport middleware will attach a laravel_token cookie to your outgoing responses

И в примере ничего больше не говорится, то есть она должна по факту наличия куки определять пользователя, но это не происходит

[Artem0071]

Причём, если делать запрос на web/* , то пользователь определяется
А если на /api/* то нет

[Константин Б.]

Artem0071, ты улавливаешь что я тебе по сути дал готовое решение на axios, которое тебе нужно просто переписать на jQuery? А ты пытаешься доказать что в доках так. Открой другие доки

[Artem0071]

Константин Б., так что вы скинули, там говорится о csrf токене, а не об access_token
Это ведь разные вещи

Answer 2

[snack008]

Вам Констатин, дал правильную наводку, что хорошо бы доку читать.
Но тем немее CreateFreshApiToken генерит токен и кладет в ку-ку - верно.
Вам остатется для написать middleware который проверяет x-csfr-token если запрос происходит из сайта(api - ориентированная система). Если внеший сайт, то только через токен. В интернетах полно инфы как это делается. Но раз вы задаете такой вопрос, то не понимаете как обстоит дело ouath2. Настоятельно рекомендую потратить 30 минут жизни на это.

Comments

[Artem0071]

Божечки, все советуют читать документацию, но при этом сами не читают вопрос..
Причем тут вообще CSFR??

Я прочитал доки и не один раз, а Вам советую читать вопросы хотя бы раз и вдумчиво

[snack008]

Ответ на ваш вопрос, почему не проходит аунтефикация на /api:
Потому что работают разыне гварды для индетификации пользователя.