我们有Laravel 4 Php框架创建的Rest Api。我们正在使用范围和授权的组合来阻止用户访问某些资源。但是我们遇到阻止一个用户访问另一个用户数据的问题。
例如 - 在我们的应用程序中,用户可以使用email和password登录,我们使用password授权类型来创建access_token 。
用户可以使用浏览器调试通行费查看其访问令牌。现在,该用户可以使用postman或curl请求与access_token一起获取其他用户数据。阻止用户显示其他用户数据的最佳方法是什么?
答案 0 :(得分:0)
当用户登录系统时,创建具有角色和权限的access_token将该访问令牌返回给用户。当用户使用access_token调用API时,请检查用户是否具有访问所请求数据的权限。
如果该用户没有权限,则返回一些错误消息。
您可以为此创建过滤器,您可以在其中检查access_token权限。
像Laravel路由一样有用 - http://laravel.com/docs/4.2/routing