2

我有一个 Laravel Web 应用程序,用于一家拥有自己用户群的餐厅。我有另一个用于书店的 Web 应用程序,它有自己不同的用户群。

我想创建第三个应用程序(主要是 API,可能使用 Lumen),它可以在每笔交易中从餐厅和书店创建会计记录(即当我卖任何食物时,向这个 API 发出 POST 请求插入一条记录,如果我卖一本书,也这样做)。

我如何保证只有来自我的 Web 应用程序的授权用户(任何用户)可以向我的 API 发出请求,而不要求他们提供任何额外的密码?

4

2 回答 2

4

这是客户端凭据授予令牌oauth 流的典型用例。

从 laravel 护照文件:

客户端凭据授予适用于机器对机器身份验证。例如,您可以在通过 API 执行维护任务的计划作业中使用此授权。 

于 2018-04-25T18:53:58.723 回答
2

您可以为必须出现在发布请求标头中的每个用户创建一个 api-key。API 中应该有一个表,该表将这些密钥与相应的 user_id 一起存储。

因此,您可以根据给定的 api-key 识别每个用户。

于 2018-04-25T18:51:56.207 回答