## 添加令牌`Token`驗證 驗證規則支持對表單的令牌驗證，首先需要在你的表單里面增加下面隱藏域： ``` <input type="hidden" name="__token__" value="{:token()}" /> ``` 也可以直接使用 ~~~ {:token_field()} ~~~ 默認的令牌Token名稱是`__token__`，如果需要自定義名稱及令牌生成規則可以使用 ~~~ {:token_field('__hash__', 'md5')} ~~~ 第二個參數表示token的生成規則，也可以使用閉包。 如果你沒有使用默認的模板引擎，則需要自己生成表單隱藏域 ~~~ namespace app\controller; use think\Request; use think\facade\View; class Index { public function index(Request $request) { $token = $request->buildToken('__token__', 'sha1'); View::assign('token', $token); return View::fetch(); } } ~~~ 然后在模板表單中使用： ~~~ <input type="hidden" name="__token__" value="{$token}" /> ~~~ ## AJAX提交 如果是AJAX提交的表單，可以將`token`設置在`meta`中 ``` <meta name="csrf-token" content="{:token()}"> ``` 或者直接使用 ``` {:token_meta()} ``` 然后在全局Ajax中使用這種方式設置`X-CSRF-Token`請求頭并提交： ~~~ $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } }); ~~~ ## 路由驗證 然后在路由規則定義中，使用 ~~~ Route::post('blog/save','blog/save')->token(); ~~~ 如果自定義了`token`名稱，需要改成 ~~~ Route::post('blog/save','blog/save')->token('__hash__'); ~~~ 令牌檢測如果不通過，會拋出`think\exception\ValidateException`異常。 ## 控制器驗證 如果沒有使用路由定義，可以在控制器里面手動進行令牌驗證 ~~~ namespace app\controller; use think\exception\ValidateException; use think\Request; class Index { public function index(Request $request) { $check = $request->checkToken('__token__'); if(false === $check) { throw new ValidateException('invalid token'); } // ... } } ~~~ 提交數據默認獲取`post`數據，支持指定數據進行`Token`驗證。 ~~~ namespace app\controller; use think\exception\ValidateException; use think\Request; class Index { public function index(Request $request) { $check = $request->checkToken('__token__', $request->param()); if(false === $check) { throw new ValidateException('invalid token'); } // ... } } ~~~ ## 使用驗證器驗證 在你的驗證規則中，添加`token`驗證規則即可，例如，如果使用的是驗證器的話，可以改為： ~~~ protected $rule = [ 'name' => 'require|max:25|token', 'email' => 'email', ]; ~~~ 如果你的令牌名稱不是`__token__`（假設是`__hash__`)，驗證器中需要改為： ~~~ protected $rule = [ 'name' => 'require|max:25|token:__hash__', 'email' => 'email', ]; ~~~