制作Laravel 5.5 API应用程序(将与远程服务器和iOS / Android应用程序上的Vue.js应用程序一起使用)。我的问题是关于安全我的客户端秘密令牌。据我所知,在passport:install之后,我可以使用我的令牌来检索这样的数据:
let data = {
grant_type: 'password',
client_id: 2,
client_secret: 'my_client_id_secret_from_database', // Laravel Password Grant Client
email: 'abc@def.com', //or any other field to identificate user
password: 'pass',
scope: '*',
};
axios.post('/oauth/token', data).then(...).catch(...)
但是保护client_id和client_secret呢?如何只访问自己的应用以使用我的API?或者访问将被授予任何拥有我的client_id和client_secret的人,并且我无法将其隐藏在客户端应用程序中,例如Vue,Angular等?