0
我用lucadegasperi的oauth2插件創建了Laravel(5.2)API。我使用PasswordGrant作爲授予類型。一切正常,但用戶A也可以看到來自用戶B的數據。 如何確保用戶只能獲取自己的數據。我如何授權用戶只使用Laravel oauth2 API查看他自己的數據?
例如ID爲123的用戶只能通過此URL獲取數據:sumtotal/123
我用lucadegasperi的oauth2插件創建了Laravel(5.2)API。我使用PasswordGrant作爲授予類型。一切正常,但用戶A也可以看到來自用戶B的數據。 如何確保用戶只能獲取自己的數據。我如何授權用戶只使用Laravel oauth2 API查看他自己的數據?
例如ID爲123的用戶只能通過此URL獲取數據:sumtotal/123
我創建了一箇中間件並檢查了這些ID。
public function handle($request, Closure $next)
{
$request_id=$request->route('cid');
$user_id = Authorizer::getResourceOwnerId();
if($request_id==$user_id){
return $next($request);
}
abort(403, 'Access denied');
}