через api tokens? нужен единый способ авторизации и для SPA и для потенциальных мобильных приложений. все эти куки его нафиг не нужны. и это как минимум позволит видеть активные токены юзеров, что-то вроде сессий, которые юзер сможет сам обрубить удалив ненужные токены.
https://laravel.com/docs/9.x/sanctum#sanctum-middleware
дак он голову мне делает с этим csrf токеном постоянно, приходится на фронте обращаться регулярно на /sanctum/csrf-cookie мб правда снести его и всё
При чем тут csrf и куки?
В конфиге санктума есть ключ guard - массив гардов. По умолчанию указан web. Если оставить пустым, то санктум будет проверять сразу по bearer токену.
бинго. я видимо настолько давно его ставил, что в моем конфиге нет этого даже)
Обсуждают сегодня