gpt4 book ai didi

laravel - 如何在没有用户身份验证的情况下保护 API 端点

转载 作者:行者123 更新时间:2023-12-02 00:45:16 25 4
gpt4 key购买 nike

我正在使用 angular2 和 lumen 5.4 创建一个 SPA。可以说有两条路线。一个返回 JSON 数据以显示的 GET 路由,以及一个用于将文件上传到数据库的 POST 路由。它是一个没有登录的内部应用程序(这不在我的手中)。

如何正确保护端点?对于 POST 上传表单,我可以包含一个隐藏的 token ,但这根本不安全。 lumen 的所有身份验证教程都涉及用户登录,这对我来说不是一个选项。

任何示例或教程都会很有帮助,因为我过去一直使用用户身份验证

最佳答案

您可以使用简单的中间件MySQL,例如:

<?php
namespace App\Http\Middleware;

use App\ApiKey;
use Closure;

class ApiMiddleware
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle($request, Closure $next)
{
$tokenValid = ApiKey::where('api_key', $request->header('Authorization'))->exists();

if (!$tokenValid) {
return response()->json('Unauthorized', 401);
}

return $next($request);
}
}

API_KEY 可以是一些随机字符串,只需使用 str_random(64); 并将其保存到数据库中。然后对于每个请求,您都应该将此 token 附加为 Authorization header 。简单且安全。

至少但不是最后,不要忘记register之后。

关于laravel - 如何在没有用户身份验证的情况下保护 API 端点,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44138951/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com