使用API进行身份认证

Question

几年前，我在几个网站上工作过，我想了解“新网络”的最新情况，所以我正在开发一个使用Laravel和Lumen进行实践的网站。

我有这样的建筑：

• 使用Lumen的API (带有数据库:用户数据、用户首选项、…)
• 一个网站(没有数据库，这部分只是要求API一些数据，并允许用户连接到他的帐户)

目前，我的API中的所有内容都是公开的:检索用户、删除帐户、搜索用户等等。

问题是我不知道如何允许这样的情况发生：

• 允许我的网站执行调用API的操作(调用API上的私有路由)
• 我想让一些路线在我的API上公开(最简单的部分，它实际上已经完成)
• 我希望允许外部用户调用我的API，如果他们有一个有效的令牌(谷歌分析，Bugsnag之类的服务)

我在考虑谷歌分析，Bugsnag，…等服务该服务要求用户在Javascript中放置令牌/密钥。如果有人在他的个人网站和/或移动应用程序中使用该令牌并使用它，这是否是一个问题？

我读过关于第二阶段的文章，这是开始的地方吗？

谢谢!

Answer 1

我建议你尝试：

1. 允许我的网站执行调用API的操作(调用API上的私有路由)

• Authentification (JSON令牌)。

JSON令牌是如何工作的？

在身份验证中，当用户成功地使用他的凭据登录时，将返回一个JSON令牌，并且必须在本地保存(通常在本地存储中，但也可以使用cookie )，而不是传统的在服务器中创建会话和返回cookie的方法。阅读更多关于jwt

使用此JWT-8月与管腔/拉拉连接jwt机构。

1. 我希望允许外部用户调用我的API，如果他们有一个有效的令牌(谷歌分析，Bugsnag之类的服务)

为此，我建议您使用OAuth 2.0协议