Всем привет! Разрабатываю API для мобильного приложения и браузерного SPA. Встал вопрос о системы авторизации и возникли вопросы. Я кажется не совсем понимаю как работает JWT да и в принципе система токенов. Правильно ли я понимаю пайплайн осуществления доступа к защищённым ресурсам API? 1. Пользователь регистрируется через мобильное приложение. Мы создаём ему учётку и все. Токен нигде не фигурирует. 2. Дальше при входе зарегистрированного пользователя в систему выдаём токен доступа. Мобильное приложение его запоминает и при каждом обращении в API в заголовке передаёт просто токен без имени/пароля. 3. Получив запрос от мобильного приложения API проверяет наличия токена, ищет его в базе и если находит - даёт доступ к данным. 4. При истечении срока токена мобильное приложение его само обновляет. Буду благодарен за разъяснения.

Да

Привет ребят! Знаю, вопрос по MySQL, не по Laravel, но может кто знает ответ. Нужно создать триггер, который при добавлении в таблицу новых строк создавал новую таблицу с названием из двух значений этой новой строки (т.е. CONCAT(NEW.type, NEW.id) ). Но использовать вариант CREATE TABLE CONCAT(NEW.type, NEW.id) ... не выходит - не работает. Кто сталкивался с подобным?

Есть смысл использовать Passport, если я реализуют только API и не хочу, чтобы данные пользователя вызвались третьим лицам?

Так можно же средствами php сделать конкатенацию строк и потом создать таблицу

Нет

Я же правильно понимаю, что Passport по сути реализует OAuth сервер? То есть если я хочу чтобы мое API было клиентом (от ВК например), то все это не обязательно. И чтобы авторизовывать юзера можно даже использовать JWT?

Да, но хотел обойтись одним запросом, т.к. создаваемые таблицы большие и изначально всегда пустые будут

Не совсем понял как у тебя запрос формируется.

Тебе полюбасу нужен oauth

Почему? Я видимо ещё не до конца осознал концепцию OAuth

Кто у тебя токены будет давать?

Я (мое API)

Ты будешь писать велосипед

Ну а JWT чем хуже?

Не совсем понял как у тебя запрос формируется.

Ну а JWT чем хуже?

Есть таблицы companies, users. При добавлении компании планировал тригером создать новую таблицы с названием из значений новой компании (type + id) и сгенерировать в users двух новых пользователей

А не метод авторизации

Не совсем понимаю. Мне же по сути надо пользователю мобильного приложения выдать токен при регистрации (логине). И не совсем понимаю чем OAuth будет лучше. На пальцах.

Есть таблицы companies, users. При добавлении компании планировал тригером создать новую таблицы с названием из значений новой компании (type + id) и сгенерировать в users двух новых пользователей

там слишком много функционала про разграничение доступа для различных клиентов и скоупы. на простой социальный логин это все не нужно

Я же правильно понимаю, что Passport по сути реализует OAuth сервер? То есть если я хочу чтобы мое API было клиентом (от ВК например), то все это не обязательно. И чтобы авторизовывать юзера можно даже использовать JWT?

Как повесить middleware на отдельные экшены Route::resources

Как повесить middleware на отдельные экшены Route::resources

возможно человек сам запутался что ему нужно

Как повесить middleware на отдельные экшены Route::resources

https://laravel.com/docs/5.6/routing#route-group-middleware

В конструкторе $this->middleware('middlewarename')->only(['index', 'show'])

Еще раз. Пишу API для мобильного приложения. Встал вопрос об авторизации через API, поэтому начал смотреть в сторону Passport.

Возьми oauth от лиги. И сделай свой гранттайп

а можно линк что за лига?

оу, красиво

Да, можешь юзать паспорт. Прислушайся к совету вынести это в отдельный микросервис только

Хорошо. Вот у меня есть отдельный микросервис работающий на Passport. Но получается, что третьи лица могут стать клиентами моего сервиса и получать данные пользователя? И не понятно что будет в моем случае клиентом. Каждый пользователь зарегистрированный через мобильное приложение, либо само мобильное приложение? Или что-то другое?

Хорошо. Вот у меня есть отдельный микросервис работающий на Passport. Но получается, что третьи лица могут стать клиентами моего сервиса и получать данные пользователя? И не понятно что будет в моем случае клиентом. Каждый пользователь зарегистрированный через мобильное приложение, либо само мобильное приложение? Или что-то другое?

если ты пользовался сторонними апи, то вот эти secret_token'ы различные, которые они тебе выдают, это и есть авторизация твоего клиента

вообще советую почитать как работает oauth(2) в целом и что такое jwt в частности

времени это займет обратно пропорционально полученной пользе

Но правильно то, что кто-то со стороны сможет воспользоваться моим сервером?

Но правильно то, что кто-то со стороны сможет воспользоваться моим сервером?

mimes: jpeg, bmp, png