我已經選擇了Angular,現在正在開發兩個獨立的應用程序,前端,Angular應用程序和後端Laravel應用程序。開發兩個獨立的應用程序時,保護API端點Angular應用程序和Laravel應用程序
截至目前我的後端應用就是處理請求,數據庫交互邏輯,驗證的API端點等
然而,是什麼阻止有人從請求/api/users/1和獲得這些數據呢?
現在沒有任何措施可以防止這種情況發生。
什麼是防止這種情況發生的最好方法,並驗證請求是通過應用程序發送的,而不是通過某些隨機用戶的http://hurl.it之類的東西發送的?
您應該首先評估哪些路線需要保護以及誰應該有權訪問。有時將它們向公衆開放可能會很好。
一旦你知道了你有幾個選擇。我個人傾向於oAuth 2.0協議。有些人認爲它已經過時了。然後還有WSSE,我個人覺得今天有更好的資源來解釋oAuth的使用,並且可能會更容易遵循。
您可以在oAuth服務器庫中搜索laravel。這樣的一個是:https://github.com/lucadegasperi/oauth2-server-laravel
你也可能需要啓用CORS,如果你的應用程序的角度上是從您的API不同的域。 IE:api.example.com(擁有api)。而example.com就是你的應用程序所在的地方。
對於CORS laravel也有一些軟件包,這樣一個存在:https://github.com/barryvdh/laravel-cors
的
可能重複[?當它是安全,使CORS(http://stackoverflow.com/questions/9713644/when-is-它安全到使-CORS) – 2014-09-29 18:07:07
@PWKad這適用於更多的然後就CORS。 – 2014-09-29 18:15:34