Недавно мы протестировали проникновение наших приложений Laravel 5.6, и одной из проблем, которые были отмечены, было неправильное задание срока действия при выходе из системы.Черта AuthenticatesUsers вызывает метод invalidate для сеанса, который в основном сбрасывает данные сеанса и восстанавливает идентификатор, но не устанавливает срок его действия.
Согласно отчету, если злоумышленник может получить действительный токен сеанса,они смогут захватить аккаунт пострадавшего пользователя.Выход пользователя из системы не сделает недействительным сеанс злоумышленника.
Любые указатели здесь будут очень полезны.
Спасибо
/**
* Log the user out of the application.
*
* @param \Illuminate\Http\Request $request
* @return \Illuminate\Http\Response
*/
public function logout(Request $request)
{
$this->guard()->logout();
$request->session()->invalidate();
return redirect('/');
}