امنیت لاراول api
سلام خدمت اساتید گرامی
من میتونم با سنکتوم برای بعضی از روت های api محدودیت ایجاد کنم که اگر لاگین شده بود و ... دسترسی داشته باشد
حالا می خوام برای همه روت ها ، حتی اونهایی که نیاز به امنیت ندارن ، مثلا لیست همه محصولاتی که در صفحه اصلی قرار میگیره ، محدودیت ایجاد کنم که فقط از فلان آدرس اگر درخواست صادر شد ، ریسپانس بفرستیم که فقط اون وبسایت دسترسی داشته باشه.
در حالت پیشفرض اینطور نیست و از هر آدرسی به روت ها دسترسی هست.
چطور میتونم این کار رو بکنم ؟
چیزی که به ذهن خودم رسیده اینه که با یک فرمت خاص توکن در دو طرف بسازم که اگر درست بود اطلاعات ارسال بشه.
آیا این کار اساسی هست؟ یا اینکه راه رhحتتری هم داره؟
ممنون از راکت
گزینش سوالات
گفت و گو های مرتبط
دسته بندی سوالات
تگهای محبوب
موضوع مد نظر شما من رو به یاد CORS انداخت، نمیدونم میتونید ازش استفاده کنید یا نه اما پیشنهاد میکنم بخش مربوط به این موضوع داخل مستندات لاراول رو چک کنید.
@mahdicmptr
سلام
میتونی یه میدلور تعریف کنی و در اون url رو چک کنی و بگی اگر از url مورد نظر بود بتونه دسترسی داشته باشه
تابع url لاراول میتونه کمکت کنه
url()
url()->current()@mahdicmptrتشکر از شما راهکار خوبی بود
ولی وقتی از این دستور استفاده می کنیم ، آدرس خود وب سرویس خودمون رو میده
127.0.0.1:8000 رو میده
ولی من می خوام آدرس وبسایتی که درخواست رو ارسال کرده بدونم
مثلا من می خوام چک کنه اگر localhost:3000 بود اطلاعات رو ارسال کن در غیر اینصورت هیچی بر نگردونه
@mahdicmptr
خودم تست نکردم ولی فکر کنم این کد کارتو راه بندازه
\Illuminate\Support\Facades\Request::fullUrl();
\Illuminate\Support\Facades\Request::getRequestUri();
@mahdicmptr
دوست عزیز
امنیت یه چیز نسبیه و صد در صد نمیشه تضمینش کرد
روتهایی که نیاز به لاگین ندارن، روت عمومی حساب میشن و به نظرم دیگه نیازی نیست به چنین محدودیتهایی
اگر درست متوجه شده باشم میخواهی از سایتهای دیگه به لینکهای سایت شما دسترسی نداشته باشن و صرفا از روتهای داخلی سایت خودتون بتونن ورود کنن و البته لاگین هم نباشن خب باید بگم یکسری راهکارهایی وجود داره اما بازم قابل دور زدن هستند
موضوع مد نظر شما من رو به یاد CORS انداخت، نمیدونم میتونید ازش استفاده کنید یا نه اما پیشنهاد میکنم بخش مربوط به این موضوع داخل مستندات لاراول رو چک کنید.