我正在开发一个供移动应用程序使用的API,但是我对安全性有一些疑问。
移动应用程序是一个求职门户,候选人可以在其中登录和注册,然后管理其信息。
我的api.php路由文件夹我将拥有与用户相关的所有路由,即添加,删除,编辑他的信息,作业等。
但是接下来我将有其他与系统相关的路由,例如列出新闻,博客...这些路由不能被用户请求,因为这是系统/应用程序的路由。
但是,通常所有的路由都无法公开使用,只有应用程序可以使用此路由。
我在API中看到的大多数路由如下:
Route::get('latest-news', 'SiteController@news');
Route::post('login', 'PassportController@login');
Route::post('register', 'PassportController@register');
Route::middleware('auth:api')->group(function () {
//USERS
Route::get('users', 'UserController@index');
//Route::get('users/{id}', 'UserController@show');
Route::post('users', 'UserController@store');
Route::put('users/{user}', 'UserController@update');
Route::delete('users/{id}', 'UserController@destroy');
Route::any('errors', 'UserController@errors');
});
登录,注册和最新消息对公众开放,任何人都可以访问它,我可以解决将路由放入'auth:api'中间件中的问题,但是我还有一个问题,就是用户可以访问这些路线。
我苦苦挣扎的问题是我不知道应该使用哪种粒型?客户?密码?都?我该如何处理这种情况?