Токены доступа для общедоступного неавторизованного пользователя
Итак, я создаю приложение для своей компании (да, я все еще новичок, поэтому, пожалуйста, не рвите меня), и идея приложения заключается в том, что когда любой, кто посещает целевую страницу и записывается на семинар, эта информация будут сохранены в нашей базе данных. Дело в том, что мы используем обычный клиентский сайт и будем выполнять ajax-вызов моего встроенного API. Мой босс сказал мне использовать паспорт для аутентификации, но я не могу осмыслить это. Если это общедоступная конечная точка, и не нужно входить в систему или авторизоваться для доступа к API, зачем мне паспорт? Если мне нужен паспорт, как я могу выдать токен человеку, который зашел на веб-страницу, чтобы зарегистрироваться, если у него нет входа в систему и он не «авторизован». Извините, если этот вопрос не имеет смысла, весь этот проект не имеет смысла, если мы могли бы просто создать им новый интерфейс вместо использования старых устаревших технологий. Я использую laravel для серверной части.
Просто мы сохраняем их информацию в нашей базе данных для электронной почты / потенциальных клиентов, но кроме этого мы не даем им логин или что-то в этом роде. Просто базовое электронное письмо с подтверждением, что вы подписались на этот семинар. Так что мне не кажется, что нужны жетоны / паспорт. Я уже создал несколько определений шлюзов для аутентификации пользователя для "админской" стороны, поэтому не думаю, что мне вообще нужен паспорт.
В этом случае я не думаю, что вам нужна какая-либо аутентификация, но вы можете попытаться предотвратить спам.
Я столкнулся с аналогичной ситуацией среди двух разных приложений Laravel, которые я создаю, в которых одно из них вызывает веб-перехватчик другого. Я разрешаю гостевых пользователей, но я думаю, что на самом деле вам нужно убедиться, что ваш веб-перехватчик на Laravel запускается надежным источником (посадка вашего клиента), а не другим. Вы можете использовать паспорт, но он вам для этого не обязательно. Что вы можете сделать, так это использовать общий жетон между обоими приложениями, чтобы убедиться, что ваш веб-перехватчик запускается только из надежного источника.
Для меня токены доступа не имеют большого смысла, если вы не собираетесь требовать от пользователей фактической аутентификации (в этом вся суть Passport). Если вы собираетесь потребовать от них фактически зарегистрироваться в процессе записи на семинар, это имеет смысл.