我正在尝试使用Laravel 5.6来构建ecom商店api。前端将是一个单独的角度应用程序。我有大部分工作,但我想了解如何保护我的订单记录端点,除了我的角度应用程序之外没有其他人可以创建订单。我查看了护照包,但看不到可能有用的解决方案。
答案 0 :(得分:1)
我建议https://github.com/neomerx/cors-psr7来处理跨域请求。但是,由于标题很容易被伪造,所以不要误以为它本身具有可靠的安全性。为此,我建议使用JWT令牌保护您的终端。我强烈建议https://github.com/tymondesigns/jwt-auth进行简单身份验证。您可以将其视为管理无状态会话令牌的工具。一种安全地让SPA与您的API通信的方法。如果您需要更精细的权限控制,那么当您查看Laravel / Passport或https://github.com/spatie/laravel-permission之类的其他内容时。