Защита API Laravel необходима для защиты конфиденциальных данных и предотвращения несанкционированного доступа. Хотя аутентификация пользователей является распространенным методом защиты API, существуют сценарии, в которых может потребоваться предоставить доступ пользователям, не вошедшим в систему, например общедоступным конечным точкам или конечным точкам, используемым сторонними приложениями. В этой статье мы рассмотрим несколько методов защиты вашего API Laravel для пользователей, не вошедших в систему, а также приведем примеры кода.

Метод 1: аутентификация по токену API
Laravel предоставляет встроенный механизм аутентификации по токену API, позволяющий генерировать уникальные токены для пользователей, не вошедших в систему. Вот пример реализации аутентификации по токену API:

1. Сгенерировать токен API для пользователя:

   $user = User::find(1);
   $token = $user->createToken('API Token')->plainTextToken;

2. Прикрепите токен к запросу API:

   GET /api/resource
   Authorization: Bearer {API_TOKEN}

3. Проверьте токен в маршрутах API:

   Route::middleware('auth:sanctum')->get('/resource', function () {
   // Retrieve the authenticated user
   $user = Auth::user();
   // Your API logic here
   });

Метод 2: ограничение скорости
Ограничение скорости предотвращает злоупотребления и защищает ваш API от чрезмерных запросов. Встроенное промежуточное программное обеспечение Laravel для ограничения скорости можно применять к конкретным маршрутам или глобально. Вот пример того, как применить ограничение скорости к маршруту API:

1. Определите промежуточное программное обеспечение, ограничивающее скорость, в app/Http/Kernel.php:

   protected $middlewareGroups = [
   'api' => [
       // Other middleware...
       \Illuminate\Routing\Middleware\ThrottleRequests::class,
   ],
   ];

2. Примените промежуточное программное обеспечение, ограничивающее скорость, к маршрутам API:

   Route::middleware('throttle:60,1')->group(function () {
   // Your API routes here
   });

   В этом примере каждый пользователь ограничен 60 запросами в минуту.

Метод 3: защита CSRF (подделка межсайтовых запросов)
Хотя защита CSRF обычно используется для веб-форм, она также актуальна для API для предотвращения несанкционированных запросов, исходящих из других доменов. Чтобы включить защиту CSRF для вашего API, выполните следующие действия:

1. Включите токен CSRF в свои запросы API:

   <script>
   const token = document.querySelector('meta[name="csrf-token"]').getAttribute('content');
   // Include the token in your API requests
   </script>

2. Проверьте токен CSRF в маршрутах API:

   Route::middleware('web')->group(function () {
   Route::post('/api/endpoint', function (Request $request) {
       $request->validate([
           '_token' => 'required|csrf',
           // other validation rules...
       ]);
       // Your API logic here
   });
   });

Защита вашего API Laravel для пользователей, не вошедших в систему, требует сочетания аутентификации, авторизации и дополнительных мер безопасности. Внедряя такие методы, как аутентификация по токену API, ограничение скорости и защиту CSRF, вы можете обеспечить целостность и безопасность конечных точек API, одновременно предоставляя доступ пользователям, не вошедшим в систему.

Не забудьте адаптировать эти методы в соответствии с вашими конкретными требованиями и обратитесь к официальной документации Laravel для получения более подробной информации по каждой теме.