使用哪种授权类型

时间:2018-12-21 16:59:36

标签: laravel laravel-5 laravel-passport

我正在开发一个供移动应用程序使用的API,但是我对安全性有一些疑问。

移动应用程序是一个求职门户,候选人可以在其中登录和注册,然后管理其信息。

我的api.php路由文件夹我将拥有与用户相关的所有路由,即添加,删除,编辑他的信息,作业等。

但是接下来我将有其他与系统相关的路由,例如列出新闻,博客...这些路由不能被用户请求,因为这是系统/应用程序的路由。

但是,通常所有的路由都无法公开使用,只有应用程序可以使用此路由。

我在API中看到的大多数路由如下:

Route::get('latest-news', 'SiteController@news');

Route::post('login', 'PassportController@login');
Route::post('register', 'PassportController@register');

Route::middleware('auth:api')->group(function () {

    //USERS
    Route::get('users', 'UserController@index');
    //Route::get('users/{id}', 'UserController@show');

    Route::post('users', 'UserController@store');
    Route::put('users/{user}', 'UserController@update');
    Route::delete('users/{id}', 'UserController@destroy');
    Route::any('errors', 'UserController@errors');


});

登录,注册和最新消息对公众开放,任何人都可以访问它,我可以解决将路由放入'auth:api'中间件中的问题,但是我还有一个问题,就是用户可以访问这些路线。

我苦苦挣扎的问题是我不知道应该使用哪种粒型?客户?密码?都?我该如何处理这种情况?

0 个答案:

没有答案