如何防止使用密码授权流在Laravel Api中滥用令牌

Question

我在Laravel中使用密码格兰特流，但是我发现向用户生成的令牌可能被滥用。

我的api运行在一个领域和一个web应用程序在另一个领域消费它。我想确保，即使有人从我的应用程序中的本地存储复制令牌，它将是无用的以外，我的消费领域。

解决此问题的唯一解决方案是使用中间件或在Api方法中检查域。有什么安全的方法吗？我应该像我刚才提到的那样使用中间件吗？

Answer 1

老实说，我不认为有什么办法可以阻止这件事。

我假设web应用程序使用客户端代码获取API，因此IP地址始终是客户端，因此您不能将API限制在特定的IP上。

此外，调用域是无用的，因为您可以在postman或任何其他API发送工具中伪造。

这是一场你不会轻易获胜的战斗。

我会问一个问题，一个用户可以以什么方式真正滥用我的API。如果他们想使用他们的令牌在您的应用程序中对他们的帐户执行操作，那么如果这发生在您的应用程序中还是在应用程序之外，有什么关系呢？如果他们有令牌，他们怎么能滥用你的平台？如果有滥用它的方法，那么您可以更好地处理允许滥用的根本原因，而不是试图限制令牌的使用方式。