Самый безопасный способ передачи паспорта Laravel access_token из блейда Laravel в компонент React

Question

Я создаю чат-приложение с ReactJS и Laravel, мы используем Laravel Echo.Для аутентификации API необходим access_token, поэтому нам нужно передать access_token в компонент.

Как это сделать безопасно?

Answer 1

Токен доступа может быть сгенерирован Laravel Passport (LP).Поскольку LP - это просто интеграция с OAuth 2 в PHP League, по умолчанию выдаются веб-токены JSON (JWT).Эти токены довольно безопасно хранить на клиентской стороне.

Если вы посмотрите документацию , вы сможете генерировать токены для пользователей, не проходя нормальный поток OAuth 2.

Используя браузер LocalStorage , вы можете сохранить этот токен для дальнейшего использования.

Answer 2

Бэкэнд должен иметь все ключи API.Предположим, что все, что отправлено во внешний интерфейс, может и будет скопировано для использования в другом месте.

Я настоятельно рекомендую вам использовать JWT (веб-токены json) для обработки аутентификации и выполнять все такие вызовы API на серверной стороне от имени аутентифицированногопользователь.В идеале проверять, есть ли у пользователя права на это.