我创建了一个 Web 应用程序,它使用内置的 Web 身份验证方法,一旦用户通过身份验证,他/她就会看到仪表板页面。此时,需要对 API 进行 Ajax 调用以获取登录用户的数据。使它安全的正确方法是什么?
作为下一步,我也希望能够“独立”使用 API,以便第 3 方也可以通过 API 访问数据集。
现在我正在研究 Laravel Passport 以及 Spatie Permission 包来帮助我进行访问控制。
我创建了一个 Web 应用程序,它使用内置的 Web 身份验证方法,一旦用户通过身份验证,他/她就会看到仪表板页面。此时,需要对 API 进行 Ajax 调用以获取登录用户的数据。使它安全的正确方法是什么?
作为下一步,我也希望能够“独立”使用 API,以便第 3 方也可以通过 API 访问数据集。
现在我正在研究 Laravel Passport 以及 Spatie Permission 包来帮助我进行访问控制。
如果您在同一域中使用 ajax 调用,那么内置身份验证仅授予授权用户访问权限不会有问题,因为 laravel 可以访问令牌和会话,并且默认情况下您可以获得经过身份验证的用户。
如果您也想制作外部文件api
,最好的方法是使用Laravel PassportAuthorization
并像往常一样在标头中传递令牌。
希望这可以帮助你