我正面临一个问题,一个曾经为我的项目工作过的前前端开发人员即使在辞职后也可以访问我的前端api。我已经实现了用于身份验证和授权的Laravel Sanctum,以及用户名和密码系统以及承载令牌。此外,我已经设置了Laravel Telescope来监控对我的API的请求。
尽管采取了这些措施,我仍然担心以前的开发人员可以访问API。我也为我的客户提供相同的api,这使得防止未经授权的访问变得更加关键。
我可以采取哪些额外的措施来保护我的api并防止前开发人员访问它们?任何建议或最佳实践将非常感谢。谢谢你。
使用密室- ,
- 使用承载令牌,
- 用户名,密码,
- 我正在使用laravel/望远镜进行监控,并保存日志等。我正在考虑再添加一个"api令牌"。但不确定他是否可以使用邮差等,也可以使用too。
如果用户已经签署了保密协议,你不应该担心这个。但如果不是,你应该为这个开发人员创建一个中间件,这样你就可以限制这个开发人员可以做什么写操作。
您可以以类似于下面的方式创建中间件:
php artisan make:middleware ReadAccessOnlyMiddleware
然后在中间件中
protected $usernames = ['username@mail.com'];
public function handle($request, Closure $next)
{
$method = $request->method();
if (($method !== 'POST' || $method !== 'PUT') && in_array($request->user()->email, $this->usernames)) {
abort(403);
}
return $next($request);
}
至少你可以控制这个开发人员可以执行的任何操作,或者更好的是为这个开发人员创建一个仅限请求的API键并限制"X days"这样就可以限制开发人员与API的交互。
它归结为你的公司政策,为什么开发人员可以访问这个API。