【发布时间】:2015-02-17 15:12:17
【问题描述】:
我是 Laravel4 的新手,我有以下设置: (1) Laravel 中的后端和 (2) AngularJS中的前端
我想知道如何限制对 API 的访问。我实现了一个基于 Auth Token 的系统,该系统在发出 API 请求时由前端设置。
但是,任何人都可以使用检查网络调用、复制访问/身份验证令牌并使用它来发出 API 请求。如何保护我的 API 以防止可以复制 Auth Token 的人进行此类攻击?
【问题讨论】:
-
让用户使用自己的令牌触发请求应该没有问题。危险是如果用户 X 使用用户 A 的令牌,但这就是 HTTPS 的用途:)
-
我同意@JimLm;确保与 API 的通信是通过 HTTPS 进行的,您不会有任何问题。在 Laravel 的
routes.php文件中,您也可以输入header('Access-Control-Allow-Origin: https://yourwebsite.com');我认为您的意思是在您的问题中说 Laravel 4,而不是 Laravel 2。 -
@cornflakes24 我相信sireesha想知道如何防止登录用户获取他们的令牌并简单地将其插入非网络客户端并从那里进行调用
-
嗯,问题是“我想知道如何限制对 API 的访问”;所以我只是给出我的想法。这也是我现在正在研究的事情。
-
@LocNguyen 是对的。如何防止使用来自非 Web 客户端的令牌?
标签: angularjs security authentication laravel laravel-routing