在URL中使用基本身份验证的Laravel-App :适用于web，不适用于API

Question

我尝试在HTTP basic auth user/password对话框后面运行Koel (或Kutr，一个分支)：在启用了basic auth的nginx反向代理https://koel后面运行https://koel:8001。

Koel是一个Laravel应用程序，它使用JWT令牌和Authorization报头字段，如下所示：

Authorization: Bearer eyJ0eX…

这意味着每个请求都会覆盖基本的auth头(使用相同的字段)，登录对话框会一次又一次地弹出。

当我在文件.env中将APP_URL设置为https://user:pass@koel时，所有指向静态文件的链接确实都被正确获取。不幸的是，像https://koel/api/data这样的API调用忽略了这一点。

我可以使用某种中间件将用户和密码注入API调用吗？

Answer 1

JWT的原则是避免使用基本身份验证，这就像根本没有身份验证(您的凭据通过基本身份验证以明文形式传输)。

所以，我要说的是，使用Authorization的JWT是一件好事，因为它可以防止您的凭据在配置错误的情况下泄露。

JWT的原理是在有效凭据的基础上生成一个存储在浏览器中的令牌(有点像cookie)。然后，有了这个令牌，就不需要提供任何身份验证(因此，凭据只在身份验证时出现一次，而不是像基本或摘要身份验证那样在整个会话期间出现)。

使用Koel，您不能做太多的事情来防止这一点，因为没有办法更改登录页面来使用基本身份验证。

但是，对于Kutr，我做了一些挂钩机制，这样您就可以插入自己的登录页面(这可以像验证基本身份验证一样简单)。

这是可用的here

在您的情况下，请将文件的顶部替换为：

// Require your CMS bootstrap code here
require_once("yourCMSbootstrap.php");
// Bootstrap your CMS and check the session is valid (if not your CMS will fallback the login screen)
checkSession();

至

// Assert the user provided an basic or digest authentication
if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Text to send if user hits Cancel button';
    exit();
} else {
    $login = $_SERVER['PHP_AUTH_USER'];
    $pw = $_SERVER['PHP_AUTH_PW'];
    if (!checkValidLoginAndPW($login, $pw))
    {
        header('HTTP/1.0 401 Unauthorized');
        echo 'Game over';
        exit();
    }
}    

确保用户的登录也存在于Kutr的应用程序中