Как реализовать ajax авторизацию запроса?

Question

[Timur Asgard]

Привет! Никак не могу сообразить как реализовать AJAX авторизацию запроса.
Входные данные задачи:
Есть некий функционал с эндпоинтом /api/post/create, и нужно как то реализовать авторизацию запроса при попытке обращения к этому методу API посредством AJAX.
Оговорка:
Можно было бы применить механизм oAuth аунтентификации с последующей авторизацией запросов, но это слишком громоздкий способ, как по мне...
PS
API и AJAX это все один сервер и один домен, в общем одна большая CMS

Comments

[varz62]

jwt вроде для этого и предназначен и реализации есть для laravel

[Timur Asgard]

varz62: о! не знал, вроде да, то что нужно, спасибо!

Answer 1

[Alex Bond]

1. Сессии
2. Генерацию строк-ключей для запроса
3. Генерация RSA ключей (для особо злых особей)

Comments

[Timur Asgard]

1) как то не комильфо. все же api а тут сессии.
2) к примеру?
3) по сути это 2 вариант только RSA ключи?

[Alex Bond]

Timur Asgard: Да, 3 это вариант 2го.
Если к апи идут запросы стого-же сайта (например, с фронтенда), то при генерации страницы с JS который шлет запросы генерируется ключ который JS исправляет вместе с запросами. Ключ умирает если какое-тов ремя небыло запросов.
Если же идет запро с левого сайта - ключик генерируется заранее или по запросу к апи с какими-то логинами/паролями.

[Timur Asgard]

>> Если же идет запро с левого сайта - ключик генерируется заранее или по запросу к апи с какими-то логинами/паролями.

ну это уже 100% oAuth. запросы с левого сайта не предусмотрены.

[Alex Bond]

Timur Asgard: Если с левого нет - тупо генерируешь ключик при генерации самой страницы и его юзаешь.

[Timur Asgard]

Alex Bond: так ведь его получается нужно будет куда то записать чтобы потом понять что ключ не подделали. например в базу или редис, а мне этого не очень хочется.
остается 1 вариант - использовать алгоритм генерации известный коду в апи методе и коду в модели?

[Alex Bond]

Timur Asgard: ну да. Полюбому надо писать ключи куда-то