Laravel Passport（通过 PKCE 授予授权码）+ NuxtJS SPA + CSRF代币

Question

我已经浏览了不同的帖子，但没有看到任何可以回答我的问题的内容，所以......

我正在构建一个应用程序，它有一个用 NuxtJS 构建的单独的 SPA。还有一个 Laravel 8 后端作为 API。

Laravel 护照用于身份验证。但是，我意识到我使用了密码身份验证授予，而我应该使用 PKCE 的身份验证代码授予。所以现在我正在重写它。

我遇到的问题如下：

那么想象一下用户点击登录按钮。对于代码授权，我需要重定向到保存登录表单的 API 的 Web 路由。但是我不想那样做，我想留在我的 SPA 中并使用那里的登录表单。

为此，我需要将 CSRF 令牌安全发送到前端。如您所知，Laravel 会要求这样做。我不想把它关掉。我认为它应该始终存在。现在我不知道该怎么做。

据我了解，我可以使用加密的 cookie，我的 SPA 可以从中获取 CSRF 令牌并将其发送到 Web 登录端点。我知道 Laravel sainttum 有一个发出 cookie 的端点（但请记住我使用的是护照）。

现在我最感兴趣的是了解我的观点是否正确。

是否可以执行类似的操作：

• 设置加密的 CSRF cookie
• 用户单击登录按钮，该按钮调用后端端点以在设置 cookie 后
• ，SPA 自动显示登录表单用户输入凭据并将其与 CSRF 令牌一起发送
• 只有在以下情况下才应接受令牌它来自我的 SPA 域

是否有意义并且看起来正确吗？

提前致谢！