SRF Token 存储在 Session 里, 每一次 Session 初始化的时候, 都会检查 _token 是否存在, 否的话regenerateToken 下 下面是 regenerateToken 的定义: 可以理解为 CSRF Token 是依赖于 Session. Session 过期, 或者 Session 里 _token 被删除的话, CSRF Token 就会被重新生成, 如果这个时候刚好有一个 无效的 _token 请求进来的话, 就会造成 Token Mismatch. 一般都是 Session 过期造成的, Session 过期时间