Как защитить запросы ajax в Laravel?

Question

Я использую ajax для хранения, обновления и удаления ресурсов, связанных с аутентифицированным пользователем. Маршруты для этих действий используют web промежуточное программное обеспечение, поэтому файлы cookie, сеансы и т. Д. Доступны. Проект основан на структуре Laravel.

Необходимо ли защищать эти маршруты от несанкционированного доступа любым дополнительным способом? Я читал о токенах API, которые можно использовать, но я не уверен, что это необходимо.

Буду благодарен за любую информацию о безопасности ajax или о том, как запросы ajax работают в целом, так как это немного над моей головой в данный момент.

Answer 1

Я бы сказал, никакой дополнительной работы не требуется если у вас есть соответствующие проверки в таких местах, как пользователь не может удалить объекты другого пользователя, и т.д. ...

Запросы AJAX на самом деле так же, как и пользователи, просматривающие разные страницы, за исключением того, что от их имени обрабатываются запросы javascript. Поскольку все уже находится за промежуточным программным обеспечением web, нет необходимости в дополнительной аутентификации, так как ваши пользователи технически уже вошли в систему.

Answer 2

Ищут JSON Web Tokens

Что такое JSON веб-Токен?

JSON веб-маркеров (JWT) является открытым стандартом (RFC 7519), который определяет компактный и автономный путь для безопасной передачи информации между сторонами в качестве объекта JSON. Эта информация может быть проверена и доверена, поскольку она имеет цифровую подпись. JWT могут быть подписаны с использованием секретного ключа (с алгоритмом HMAC) или пары открытого/закрытого ключей с использованием RSA.

и эта статья:

Authenticate users in Node using JWT and Laravel