Laravel REST API 安全性答案

【问题标题】：Laravel rest api securityLaravel REST API 安全性
【发布时间】：2017-10-27 10:50:58
【问题描述】：

我有一个带有 rest api 的 laravel 后端。但我希望我的 rest api 只能由我的 android 应用程序使用。那么我的后端如何知道请求仅来自我的 android 应用程序而不是来自网络或其他应用程序？注意：我不希望用户接受一些登录挑战。

【问题讨论】：

完全禁止公开是不可能的，但有一些方法可以让它变得更难。
始终向服务器发送任何查询的值，只是为了从您的应用程序中指定它。或者你可以为你的应用创建一个单独的路由
在这种情况下，任何人都可以反编译我的应用程序以查看查询字符串并构建自己的应用程序。
为安卓设备提供一个单独的 url 端点
您的 api 需要 Auth Token、自定义标头、密钥、中间件......然后它是安全的

标签： android rest api laravel-5

【解决方案1】：

你可以使用 jwt。每次执行请求时都必须获取令牌。令牌确保用户属于他们的服务。令牌必须以某种方式保存在您的 android 应用中，才能将该响应返回给 api rest。

https://github.com/tymondesigns/jwt-auth

还要记住在 api rest 中保护您的端点：

Route::middleware(['jwt_auth'])->group(function(){

    Route::group(['prefix'=> 'V1'],function(){
            Route::post('/endpoint', 'V1\EndointController@store');
    });

});

【讨论】：

一般来说，链接到工具或库should be accompanied by usage notes, a specific explanation of how the linked resource is applicable to the problem, or some sample code，或者如果可能的话，以上所有。