【发布时间】:2021-04-17 12:54:18
【问题描述】:
我使用 Laravel 作为 API,带有 Passport 和 Password Grant Token。
当没有用户登录时,前端仍然需要访问 API 路由来获取杂项数据或注册用户。我应该如何保护给定前端(在api.php 中设置)使用的这些路由,使其只能由前端访问?
【问题讨论】:
-
你不应该使用密码授权。它们在 OAuth 的安全最佳实践中完全被禁止:oauth.net/2/grant-types/password
-
@MartinBean 我正在使用多个提供程序,目前仅适用于密码授予令牌。这个问题在here 讨论。我希望这个选项可以很快扩展到 Passport 的其他部分。
标签: laravel