【发布时间】:2019-01-09 20:36:49
【问题描述】:
我有一个基于 Laravel 后端 api 和 Nuxt.js 前端应用程序的网站。
laravel 应用程序在 api.website.com 上提供。到目前为止,api 是开放的,这意味着每个人都可以提出 get 请求。几乎没有发帖请求。
我知道需要为用户实现登录机制(通常登录+注册和 facebook 登录)。
我的问题是如何确保这个过程的安全。我需要 Laravel Passport(或其他类似机制)吗?
我的想法是,假设我有一个端点 api.website.com/register (POST),我不希望任何人能够只发出一个帖子请求并创建一个帐户。我需要某种安全性,例如 csrf 令牌。我知道我可以使用 CORS,但在这种情况下并不能真正提供太多安全性。
【问题讨论】:
-
你可以使用 Laravel 护照来保护你的 api。 laravel.com/docs/5.6/passport
标签: laravel api csrf content-security-policy nuxt.js