我正在使用angular2&创建一个SPA。流明5.4。让我们说有两条路线。一个GET路由返回要显示的JSON数据,一个POST路由用于将文件上载到数据库。它是一个没有登录的内部应用程序(这不在我手中)。
如何正确保护端点?对于POST上传表单,我可以包含隐藏的令牌,但这根本不安全。流明的所有身份验证教程都涉及用户登录,这对我来说不是一个选项。
任何示例或教程都会有所帮助,因为我以前一直使用用户身份验证
答案 0 :(得分:1)
您可以使用基于IP地址或类似内容的安全性,但这是我第一次看到类似您的问题,在您的应用的任何位置,如果您想要安全性,您需要凭据,当然,您总是可以制作其他类型的身份证明,比如输入电话号码或电子邮件,我会向您发送一个您将以其他形式介绍的令牌,否则,我不知道在类似的情况下还能做些什么这一点。
答案 1 :(得分:1)
您可以使用简单的middleware和MySQL,例如:
<?php
namespace App\Http\Middleware;
use App\ApiKey;
use Closure;
class ApiMiddleware
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle($request, Closure $next)
{
$tokenValid = ApiKey::where('api_key', $request->header('Authorization'))->exists();
if (!$tokenValid) {
return response()->json('Unauthorized', 401);
}
return $next($request);
}
}
API_KEY可以是一些随机字符串,只需使用str_random(64);并将其保存到数据库。然后,对于每个请求,您应该将此标记作为Authorization标头附加。简单而安全。
至少但不是最后,不要忘记register之后。