我使用lucadegasperi的oauth2插件创建了一个Laravel(5.2)API。我使用PasswordGrant作为授权类型。一切正常,但用户A也可以看到用户B的数据。 如何确保用户只能获取自己的数据。
e.g。 ID为123的用户只能使用此URL获取数据:sumtotal / 123
答案 0 :(得分:0)
我创建了一个中间件并检查了ID。
public function handle($request, Closure $next)
{
$request_id=$request->route('cid');
$user_id = Authorizer::getResourceOwnerId();
if($request_id==$user_id){
return $next($request);
}
abort(403, 'Access denied');
}