Laravel 作为移动 app 的服务器端，csrf 验证是必要的吗

laravel为了方式浏览器的伪造请求，csrf攻击，会对每个应用下的页面生成一个csrf_token的令牌表单，用户每次请求的时候会带上这个令牌去和服务器的session的令牌做对比。判断本次请求和生成token的是否是同一个人。生成csrf令牌隐藏表单//这行代码生成了一个标准的隐藏表单值为token">获取tokenechocsrf_token()我们不需要手动写验证csrf请求的，因为laravel默认把每个路由都继承了一个HTTP中间件VerifyCsrfToken会为我们做这项工作，将请求中输入的token值和session中的存储的作对比。例外排除url不进行csrf的验证某些时候我们不得已的要使用第三方的请求，这时候就需要将这些网址加入到csrf的例外请求里面，我们只需要到中间件VerifyCsrfToken里面把请求的地址加入到$except属性里面即可。

今天想用laravel搭建一个后台系统，就需要最简单的那种，有用户登录系统，试用了下，觉得laravel的用户登录这块做的还真happy。当然，前提就是，你要的用户管理系统是最简单的那种，就是没有用户权限，能登录就好。

我这里就不用默认的user表做例子了，那样很容易和laravel的一些默认设置混淆。

首先确认，后台的用户表，我设计表叫做badmin，每个管理员有用户名（username），有昵称（nickname），有邮箱（email），有密码（password）

这里玩个花，使用laravel的migration来建立表（实际上可以用不着使用这个工具建立表）

1 安装好最基本的laravel框架

2 创建migration文件：

./artisan migrate:make create-badmin-table

3 发现app/database/migration/下面多了一个php文件：

2014_10_19_090336_create-badmin-table.php

4 往up和down里面增加内容；

<?php

use Illuminate\Database\Schema\Blueprint

use Illuminate\Database\Migrations\Migration

class CreateBadminTable extends Migration {

---