Безопасные вызовы API от AngularJS до Laravel

Question

Каков наилучший способ защитить вызовы API от страниц AngularJS/HTML до бэкэнда Laravel PHP?

Чтобы быть ясным, я не говорю о аутентификации пользователя.

Я планирую приложение на основе API. Я хотел бы прочитать данные JSON из моего API на страницу с помощью AngularJS, прежде чем кто-либо попросит вас зарегистрироваться или войти.

Мне нужно убедиться, что только мой клиентский интерфейс может получить доступ к этим данным. Есть ли существующая система для отправки токена или использования моего секретного ключа, чтобы гарантировать, что только мой интерфейс может получить доступ к моему API? Я также хотел бы иметь возможность отменить доступ у конкретного клиента или арендатора.

Что такое параметры безопасности для этой настройки? Я думаю по линиям JWT, CORS и т. Д. Это моя первая попытка такого приложения, поэтому, пожалуйста, простите мое невежество!

Answer 1

С помощью CORS вы можете блокировать вызовы ajax, которые не поступают из домена вашего веб-приложения, задав некоторые параметры заголовка. Тем не менее, по-прежнему можно отправлять запросы другими способами (например, cURL), поэтому я бы никогда не предоставлял конфиденциальную информацию через общедоступные API.

Невозможно быть на 100% уверенным, что звонок поступает из вашего веб-приложения. Если вы хотите, чтобы ваш API был в безопасности, разрешите только его аутентифицированным пользователям.