作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在使用 angular2 和 lumen 5.4 创建一个 SPA。可以说有两条路线。一个返回 JSON 数据以显示的 GET
路由,以及一个用于将文件上传到数据库的 POST
路由。它是一个没有登录的内部应用程序(这不在我的手中)。
如何正确保护端点?对于 POST
上传表单,我可以包含一个隐藏的 token ,但这根本不安全。 lumen 的所有身份验证教程都涉及用户登录,这对我来说不是一个选项。
任何示例或教程都会很有帮助,因为我过去一直使用用户身份验证
最佳答案
您可以使用简单的中间件
和MySQL
,例如:
<?php
namespace App\Http\Middleware;
use App\ApiKey;
use Closure;
class ApiMiddleware
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle($request, Closure $next)
{
$tokenValid = ApiKey::where('api_key', $request->header('Authorization'))->exists();
if (!$tokenValid) {
return response()->json('Unauthorized', 401);
}
return $next($request);
}
}
API_KEY
可以是一些随机字符串,只需使用 str_random(64);
并将其保存到数据库中。然后对于每个请求,您都应该将此 token 附加为 Authorization
header 。简单且安全。
至少但不是最后,不要忘记register之后。
关于laravel - 如何在没有用户身份验证的情况下保护 API 端点,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44138951/
我是一名优秀的程序员,十分优秀!