1

我正在使用 angular2 & lumen 5.4 创建一个 SPA。让我们说有两条路线。一条GET返回 JSON 数据以显示的POST路由,以及一条将文件上传到数据库的路由。它是一个无需登录的内部应用程序(这是我无法控制的)。

如何正确保护端点?对于POST上传表单,我可以包含一个隐藏的令牌,但这根本不安全。lumen 的所有身份验证教程都涉及用户登录,这对我来说不是一个选项。

任何示例或教程都会有帮助,因为我过去一直使用用户身份验证

4

2 回答 2

5

您可以使用简单的middlewareand MySQL,例如:

<?php
namespace App\Http\Middleware; 

use App\ApiKey;
use Closure;

class ApiMiddleware
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request $request
     * @param  \Closure $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        $tokenValid = ApiKey::where('api_key', $request->header('Authorization'))->exists();

        if (!$tokenValid) {
            return response()->json('Unauthorized', 401);
        } 

        return $next($request);
    }
}

API_KEY可能是一些随机字符串,只需使用str_random(64);并将其保存到数据库中。然后,对于每个请求,您都应该将此令牌作为Authorization标头附加。简单而安全。

至少但不是最后,不要忘记事后注册。

于 2017-05-23T21:32:45.220 回答
1

您可以使用基于 IP 地址的安全性或类似的东西,但这是我第一次看到类似您的问题的东西,在您的应用程序的任何时候,如果您想要安全性,您需要凭据,当然,您总是可以制作其他一种身份验证,例如输入电话号码或电子邮件,然后我会向您发送一个令牌,您将以进一步的形式介绍该令牌,否则,我不知道在这种情况下还能做什么。

于 2017-05-23T18:58:08.313 回答