Я создал пользовательский REST api в Magento2. Но как я могу обеспечить его с помощью встроенной защиты от вторжений Magento2 REST?Как защитить свой пользовательский Magento2 REST api
так же, как /index.php/rest/V1/customers/me обеспечивается с Authorization заголовка
при создании пользовательской конфигурации апи в webapi.xml положить ref="self"
, если вы настроены так вы можете получить доступ к API с аутентификацией только предоставленной Magento 2, как OAuth, лексемы, oauth2
Отключить доступ к API анонимным в админ панели Magento
Заменить <resource ref="anonymous"/> на <resource ref="Venodr_Module::name_of_the_acl_entry"/> в etc/webapi.xml вашего модуля:
<route url="/V1/customers/me" method="...">
<service class="..." method="..."/>
<resources>
<resource ref="Vendor_Module::name_of_the_acl_entry"/>
<!--<resource ref="anonymous"/>-->
</resources>
</route>
и настройка ACL в etc/acl.xml:
<?xml version="1.0"?>
<config xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:noNamespaceSchemaLocation="urn:magento:framework:Acl/etc/acl.xsd">
<acl>
<resources>
<resource id="Magento_Backend::admin">
<resource id="Vendor_Module::name_of_the_acl_entry" title="Human readable title"/>
</resources>
</acl>
</config>
Затем предоставить доступ для конкретного пользователя бэкэнд в "Роли System/Права доступа/пользователей ", выберите Роль, вкладка" Ролевые ресурсы "и" Доступ к ресурсам ». Выберите «Все» или выберите «Custom» и проверьте ресурс под названием «Человеко-читаемое название».
Безопасность доступа на заказ апи прикладывается через
Magento 2 позволяет сделать некоторые веб-интерфейсы, чтобы получить доступ неаутентифицированное (анонимно) users.To предотвратить доступ к анонимному пользователю, определить ресурс, к которому вызывающий должен иметь доступ. Мол,
<route url="/V1/techyrules/webservice/deleteAddressMine" method="PUT">
<service class="techyrules\WebService\Api\AddressManagementInterface" method="deleteAddressMine"/>
<resources>
<resource ref="self"/>
</resources>
</route>
исх, Допустимые значения самостоятельно, анонимным, или Magento ресурсов, таких как Magento_Customer :: группа.
Самого примера, пользователя аутентифицировать его/сам по имени пользователя & пароля, то лексемы будет генерироваться в ответ, что лексема акт как само разрешение для дальнейших процессов.
спасибо, я получил его –
Также вы можете использовать customerId для достижения конкретного поведения клиента. Посмотрите файл webapi.xml в Magento/Customer, чтобы посмотреть, как они это делают. – awavi