Как сделать скрытую авторизацию?

Question

[killbond]

В проекте Angular JS + Laravel API в админке нужно сделать скрытую авторизацию, т.е. таким образом, чтобы для случайного прохожего URL админки вел себя так, будто его не существует. В качестве веб-сервера используется nginx. Т.к. PHP в проекте только в качестве API, авторизация, полагаю, полностью ляжет на плечи nginx, как это сделать? Не понятно, как отфильтровать посетителей, имеющих доступ к админке? Недавно узнал про JWT, но нужен удобный для пользователя способ, чтобы не объяснять ему, как пользоваться Postman. В случае JWT, вероятно, можно сделать скрипт командной строки, который передает запрос с токеном на сервер, но может быть, есть более простое решение?

Answer 1

[Gleb Gryadk.in]

для тестов, я использую проверку юзерагента.
ставлю себе уникальный аддоном к браузеру.

у nginx это будет как-то так:
habrahabr.ru/post/231277/

Comments

[killbond]

Вообщем да, доработал решение, так и сделал: кастомный заголовок в request - в зависимости от него, веб-сервер отдает разный контент: разные версии js кода, html, в зависимости от него разрешается или запрещается доступ к нужному домену.

Answer 2

[xmoonlight]

https:// domain.com/admin/этомоймегатокенияегоникомунескажуиначевыдаём404

Comments

[killbond]

а роутинг?

[xmoonlight]

killbond: через сервер. в JS - не вписывайте, разумеется.

Answer 3

[Павел Волынцев]

Используй HTTP MiddleWare

Вот решение по ограничению доступа к некоторым URL с проверкой прав доступа авторизованного пользователя
laravel.io/forum/02-17-2015-laravel-5-routes-restr...

Но у них при отсутствии некоторой роли идёт редирект на /home , а тебе надо (я так понимаю) вернуть 404 Page Not Found

public function handle($request, Closure $next)
{
    if ($request->user()->type != 'A')
    {
        abort(404,'Page not found');
    }

     return $next($request);
}

Comments

[killbond]

я бы тоже так сделал, но только все приложение, по сути в статических страницах Angular'а, и при запросах выдается html, т.е. запрос в laravel не приходит вообще, ну т.е. он приходит, но уже после загрузки страницы с приложением на Angular, и если дать этой странице загрузиться - это означает "спалились" )

[Павел Волынцев]

killbond: Ну тогда такой вариант: устанавливай специальную куку, а потом проверяй в nginx. Можно использовать хэшированную куку, а в nginx реализовать проверку через пару строк на встроенном интерпретаторе Perl.

[Павел Волынцев]

killbond: ещё вариант популярный - делить приложение на "админку" и "юзерку" по поддоменам или префиксам путей. JS для приложения в этом случае можно собрать в два файла (app.js и app_admin.js). На юзерке один, на админке другой. Когда пользователь переходит из одной части в другую, страницу перегружать и выдавать другую версию JS. Ну и на сервере конечно проверять - есть ли права на админку, то есть можно ли ему отдать app_admin.js

[killbond]

>> делить приложение на "админку" и "юзерку" по поддоменам или префиксам путей
уже сделано

>> Ну и на сервере конечно проверять - есть ли права на админку
вот в этом то и весь вопрос - как? )