【问题标题】:Restrict Laravel API access to given frontend(s) only限制 Laravel API 仅访问给定的前端
【发布时间】:2021-04-17 12:54:18
【问题描述】:

我使用 Laravel 作为 API,带有 PassportPassword Grant Token

当没有用户登录时,前端仍然需要访问 API 路由来获取杂项数据或注册用户。我应该如何保护给定前端(在api.php 中设置)使用的这些路由,使其只能由前端访问?

【问题讨论】:

  • 你不应该使用密码授权。它们在 OAuth 的安全最佳实践中完全被禁止:oauth.net/2/grant-types/password
  • @MartinBean 我正在使用多个提供程序,目前仅适用于密码授予令牌。这个问题在here 讨论。我希望这个选项可以很快扩展到 Passport 的其他部分。

标签: laravel


【解决方案1】:

您可以在 cors.php 配置文件中限制对 API 的访问。您可以在 allowed_origins 标头中设置允许哪些域访问您的 API。这是实现这一目标的一种非常简单的方法。

【讨论】:

    猜你喜欢
    • 2020-06-24
    • 2018-08-31
    • 2021-01-28
    • 2017-10-10
    • 1970-01-01
    • 1970-01-01
    • 2015-07-17
    • 2019-12-27
    • 2022-01-03
    相关资源
    最近更新 更多