Laravel 5.6 API-авторизация

Question

Я экспериментирую с Laravel 5.6 для создания API ecom store. Фронт-энд будет отдельным угловым приложением. У меня большая часть работы работает, но я хочу понять, как охранять конечную точку записи моего ордера, чтобы никто, кроме моего углового приложения, не мог создавать ордера. Я посмотрел на паспортный пакет, но не могу найти решение, которое могло бы помочь.

Answer 1

Я бы рекомендовал https://github.com/neomerx/cors-psr7 для обработки междоменных запросов. Однако, поскольку заголовки могут быть легко подделаны, не принимайте это за надежную безопасность. Для этого я бы рекомендовал охранять ваши конечные точки с помощью токенов JWT. Я настоятельно рекомендую https://github.com/tymondesigns/jwt-auth для простой аутентификации. Вы можете думать об этом как об инструменте управления жетонами сеансов без сохранения состояния. Способ безопасного общения SPA с вашим API. Если вам нужен более детальный контроль над разрешениями, тогда вы смотрите на Laravel / Passport или что-то вроде https://github.com/spatie/laravel-permission.