我创建了一个web应用程序,使用web内置的认证方式,一旦用户通过了认证,他就会出现一个仪表盘页面。此刻需要通过Ajax调用API来为登录的用户获取数据。正确的做法是什么,才能让它是安全的?
作为下一步, 我希望能够 "独立 "使用API, 这样第三方也可以通过API访问数据集.
现在我正在研究Laravel Passport以及Spatie Permission包来帮助我进行访问控制.
如果你在同一个域中使用ajax调用,那么内置的身份验证就不会有问题,只给授权用户提供访问权限,因为令牌&会话对于laravel来说是可以访问的,你可以通过默认的方式获得认证用户。
如果你想做外部 api 以及最好的方法是使用 拉威尔护照 并传入 Authorization 头像往常一样。
希望这对你有帮助