gha*_*han 1 laravel lumen laravel-5.4 lumen-5.4
我正在使用 angular2 和 lumen 5.4 创建一个 SPA。只能说有两条路线。一种GET返回要显示的 JSON 数据的POST路由,以及一种用于将文件上传到数据库的路由。它是一个无需登录的内部应用程序(这是我无法控制的)。
如何正确保护端点?对于POST上传表单,我可以包含一个隐藏的令牌,但这根本不安全。lumen 的所有身份验证教程都涉及用户登录,这对我来说不是一个选项。
任何示例或教程都会有所帮助,因为我过去一直使用用户身份验证
您可以使用简单的middlewareand MySQL,例如:
<?php
namespace App\Http\Middleware;
use App\ApiKey;
use Closure;
class ApiMiddleware
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle($request, Closure $next)
{
$tokenValid = ApiKey::where('api_key', $request->header('Authorization'))->exists();
if (!$tokenValid) {
return response()->json('Unauthorized', 401);
}
return $next($request);
}
}
API_KEY可能是一些随机字符串,只需使用str_random(64);并将其保存到数据库中。然后,对于每个请求,您都应该将此令牌作为Authorization标头附加。简单安全。
至少但不是最后,之后不要忘记注册它。
| 归档时间: |
|
| 查看次数: |
4131 次 |
| 最近记录: |