我的目标是使用Passport从SPA安全地访问我的Laravel 7 REST API后端。在此阶段,我不愿使用它进行身份验证,并且不加载带有授权信息的令牌。
通过阅读许多在线示例,我发现一些使用“密码授予令牌”和“个人访问令牌”的途径。
我在实现中看到的主要区别是,使用Grant Token,您需要担心在代理中调用带有额外的comfig详细信息的oauth / token路由,而使用Personal Token,则只需从SPA传递用户名和密码即可。
问题1:从技术上讲,这是从SPA提供安全访问的唯一区别吗?使用这两种方法是否有任何风险/不利因素?如果“个人”更容易些,为什么人们会烦恼格兰特?
问题2:在7.x文档中,我看到了一个使用“ CreateFreshApiToken”的简化方法(似乎,因为我的SPA是一个JS应用程序),其中Passport显然为我做了所有事情。不过,我在Internet上没有使用此示例。我是否以某种方式误解了它的应用,或者仅仅是因为它完全是一项新功能?