質問編集履歴
2
タグの追加と追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -12,4 +12,30 @@
|
|
|
12
12
|
|
|
13
13
|
公開用とアドミン用のAPIを別に作成する必要があるのでしょうか??
|
|
14
14
|
|
|
15
|
+
### 追記
|
|
16
|
+
|
|
15
|
-
追記: バックにはLaravel、フロントはReactを使っています。自作APIを利用するときは、基本的にはReactでAPIを叩いています。
|
|
17
|
+
追記: バックにはLaravel、フロントはReactを使っています。自作APIを利用するときは、基本的にはReactでAPIを叩いています。
|
|
18
|
+
|
|
19
|
+
追記: 皆様、有益な回答ありがとうございます。ググっても中々実装例が出てこなかったのでとても助かります。ただ、幅広い意見をお伺いしたいので今しばらく回答を募集中のままにさせていただきます。
|
|
20
|
+
|
|
21
|
+
### 改めて質問内容を整理します。
|
|
22
|
+
|
|
23
|
+
Laravelでアプリケーションを開発しており(以下、Laravel Appとします。Wantedlyのようなサービスです。)、「**Laravel App内で使用すること**」と「**外部のクライアントに利用してもらうこと**(外部クライアントが開発している別のアプリケーション等に利用してもらう、など)」を目的としたAPIを作っています。
|
|
24
|
+
|
|
25
|
+
このAPIを利用するには、ヘッダにLaravel Appが発行するユーザー(Laravel Appの利用者かつ登録者)それぞれが保持するAPI Tokenを含めてPOSTすることでLaravel APPのミドルウェアが認証処理を行い、レスポンスを返してくれます。
|
|
26
|
+
|
|
27
|
+
外部のクラアイントがAPIを利用する分には、このAPI Tokenでの認証方法で良いと思います。(回答者の方のご指摘通り、Tokenのチェック方法に留意する点はまだありますが・・)
|
|
28
|
+
|
|
29
|
+
しかし、この認証方法を設けてしまうと、Laravel App自身がAPIを使用することが難しくなってしまいます。
|
|
30
|
+
例えば、Laravel Appが自身がAPIを利用するためのアドミン用のAPI Tokenを用意しても、ヘッダ情報にAPI Tokenを含める必要があるため、Larave Appを利用する全てのユーザーにアドミン用のAPI Tokenが公開されてしまいます。
|
|
31
|
+
|
|
32
|
+
|
|
33
|
+
上記の利用目的において、APIの認証方法はどのようにすべきでしょうか?
|
|
34
|
+
|
|
35
|
+
|
|
36
|
+
### 考えている方法
|
|
37
|
+
|
|
38
|
+
* 公開用と内部で使用する用でAPIを分ける。内部で使用する用は非公開にする。
|
|
39
|
+
|
|
40
|
+
* アドミン用のAPI Tokenを利用せず、ユーザー(Laravel Appの利用者かつ登録者)のAPI Tokenを利用させる。本来、API Tokenは外部の別のアプリケーションの開発等に使用してもらうためのものを想定していたが、Laravel Appを利用する際も使用する仕様にする。
|
|
41
|
+
API TokenはLaravel Appに登録した時に自動で発行、いつでもリフレッシュ可能なものとする。
|
1
追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -10,4 +10,6 @@
|
|
|
10
10
|
|
|
11
11
|
APIを公開する際には認証を必要としたいので、利用するユーザーそれぞれにAPIトークンを発行したいのですが、自アプリケーション内でAPIを安全に利用するにはどういう対策がありますでしょうか?
|
|
12
12
|
|
|
13
|
-
公開用とアドミン用のAPIを別に作成する必要があるのでしょうか??
|
|
13
|
+
公開用とアドミン用のAPIを別に作成する必要があるのでしょうか??
|
|
14
|
+
|
|
15
|
+
追記: バックにはLaravel、フロントはReactを使っています。自作APIを利用するときは、基本的にはReactでAPIを叩いています。
|