我正在使用 angular2 和 lumen 5.4 创建一个 SPA。可以说有两条路线。一个返回 JSON 数据以显示的 GET 路由,以及一个用于将文件上传到数据库的 POST 路由。它是一个没有登录的内部应用程序(这不在我的手中)。
如何正确保护端点?对于 POST 上传表单,我可以包含一个隐藏的 token ,但这根本不安全。 lumen 的所有身份验证教程都涉及用户登录,这对我来说不是一个选项。
任何示例或教程都会很有帮助,因为我过去一直使用用户身份验证
最佳答案
您可以使用简单的中间件和MySQL,例如:
<?php
namespace App\Http\Middleware;
use App\ApiKey;
use Closure;
class ApiMiddleware
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle($request, Closure $next)
{
$tokenValid = ApiKey::where('api_key', $request->header('Authorization'))->exists();
if (!$tokenValid) {
return response()->json('Unauthorized', 401);
}
return $next($request);
}
}
API_KEY 可以是一些随机字符串,只需使用 str_random(64); 并将其保存到数据库中。然后对于每个请求,您都应该将此 token 附加为 Authorization header 。简单且安全。
至少但不是最后,不要忘记register之后。
关于laravel - 如何在没有用户身份验证的情况下保护 API 端点,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44138951/