Нужно ли защищать Laravel :: post маршруты от любого вида поста, кроме моей собственной формы

Question

Если у меня есть два маршрута:

Route::get('/setup', 'SetupController@index')
Route::post('/setup' 'SetupController@store')

В SetupController@index я делаю некоторые проверки, например, я проверяю, аутентифицирован ли пользователь.Но есть еще несколько правил, которые я проверяю.

Должен ли я выполнять те же проверки и на маршруте post?

Есть ли какой-нибудь способ, которым кто-то может пройти по этому почтовому маршруту, не пройдя сначала по маршруту get?(например, публикация в URL http://domain/setup?password=1234)

Итак, я думаю, что я спрашиваю:

Нужно ли мне обернуть два маршрута в промежуточном программном обеспечении и проверить каждыйиз них или достаточно проверить по маршруту get?

Answer 1

Обычно вам нужно добавить соответствующее промежуточное ПО для разных URL, для получения маршрута вы можете использовать ReplayAttackMiddleware для ненужных атак;а для пост-маршрута, я думаю, вам нужно добавить разные роли для разных пользователей, а JWT - действительно хороший инструмент для аутентификации.

Answer 2

да, вам нужно обернуть оба маршрута в промежуточном программном обеспечении.

кто-то может открыть любую страницу (например, войти в систему) и отредактировать html, чтобы создать форму, указывающую на /setup, и поместить в нее все, что он хочет..

уверен, что кто-то должен знать архитектуру формы, чтобы сделать это, но тем не менее это риск.