Недавно мы протестировали наше приложение Laravel 5.6 на проникновение, и одной из отмеченных проблем была неправильная установка срока действия при выходе из системы. Черта AuthenticatesUsers вызывает метод недействительности сеанса, который в основном сбрасывает данные сеанса и регенерирует идентификатор, но не устанавливает для него срок действия.
Согласно отчету, если злоумышленник сможет получить действительный токен сеанса, он сможет захватить учетную запись пострадавшего пользователя. Выход пользователя из системы не аннулирует сеанс злоумышленника.
Любые указатели здесь будут очень полезны.
Спасибо
/**
* Log the user out of the application.
*
* @param \Illuminate\Http\Request $request
* @return \Illuminate\Http\Response
*/
public function logout(Request $request)
{
$this->guard()->logout();
$request->session()->invalidate();
return redirect('/');
}