如何保护 Laravel API (sanctum)

Question

我有一个带有登录系统的 laravel 应用程序，仅供实习生使用 和 我有一个网站，它使用 api 从/向 laravel 应用程序获取和发布数据

所以我想要，只有我的网站可以从/向 api 获取/发布数据 -> laravel 应用程序

现在，我已经使用电子邮件和密码为 api 创建了一个登录用户。我知道那不是正确的做法。

通过此登录凭据，网站从 api 获取不记名令牌（有效期 10 分钟）

使用此不记名令牌（ajax 调用的标头），网站调用每个 api 请求（get/post）

代码：

Ajax 调用获取 Bearer Token：

 axios.post(data_source_url + "/auth/token", {'email' : 'api@email.de', 'password' : 'pw1'}).then((res) => {
        document.cookie = 'bearer=' + res.data + ';expires=' ...
    })

Laravel Api 路由：

Route::post('/auth/token', ['uses'=>'ApiController@getToken'])->name('api.getToken');
Route::get('/get', ['middleware'=>'auth:sanctum', 'uses'=>'Api\ApiController@read']);
Route::post('/send', ['middleware'=>'auth:sanctum', 'uses'=>'Api\ApiController@send']);

所以我想用不记名令牌进行授权，但是如何以正确/安全的方式从 api 发送和接收不记名令牌，因为我这样做的方式现在登录是完全不安全的

Answer 1

您不应该让获取令牌的路线保持开放。这件事我写了一篇文章Laravel 8 REST API 这种方法允许您通过首先使用有效用户登录应用程序来获取令牌。对于您的用例，您只需删除注册路由和控制器，您就可以保护它以供您使用。

路线

Route::post('/login', [ApiController::class, 'login']);

控制器

public function login(Request $request) {
     if (!Auth::attempt($request->only('email', 'password'))) {
     return response()->json(['message' => 'Incorrect e-mail or password'], 401);
    }

    $user = User::where('email', $request['email'])->firstOrFail();

    $token = $user->createToken('auth_token')->plainTextToken;

    return response()->json([
        'access_token' => $token,
        'token_type' => 'Bearer',
    ]);
}

我刚刚意识到您正在登录以检索承载。放心，标头是使用 HTTPS 加密的，所以据我所知是安全的。

为了在js调用中删除明文用户和密码，需要通过发出npm install dotenv --save来安装dotenv

现在添加到您的 .env 文件中

MY_API_USER=api@email.de
MY_API_PASSWORD=pw1

然后你需要添加到你的文件中

require('dotenv').config();

所以你可以这样使用敏感数据

axios.post(data_source_url + "/auth/token", {'email' : process.env.MY_API_USER, 'password' : process.env.MY_API_USER}).then((res) => {
    document.cookie = 'bearer=' + res.data + ';expires=' ...
})

您不会共享您的 .env 文件，如果不存在，请务必将其添加到您的 .gitignore 或类似文件中。