Laravel + VUEJS скрытые разделы, проверка аутентификации как лучше сделать?

Question

[Mr_Romanov]

Изучаю laravel, до этого писал на чистом пхп в связке с ajax jquery.

Собственно вопрос, понятно как работают модули авторизации и проверки на уровне blade.
Вопрос: у меня весь бэк на rest api, общаюсь через VUEJS, а рисую всё через компоненты VUE.
Безопасно ли ограничиваться проверками на уровне blade без глубокого вникания в взаимодействия VUEJS с авторизацией laravel?

Или стоит развернуть что-то типа Jwt-auth? И вникать в него?

Answer 1

[Сергей Кривошеев]

Я для себя такое решение использую. От laravel только rest api с авторизацией по jwt

Фронтенд хранит все формы, кнопки и тп. отображение интерфейса производится через проверку прав доступа.

Сервер на laravel, после авторизации возвращает меню + rbac пользователя. Интерфейс отрисовывается в зависимости от разрешений пользователя (permissions). При изменении списка разрешений, например администратором, отправляется обновлённый список ролей пользователю через websocket. Перестраивается интерфейс.

И на сервере всегда проверяю разрешено ли пользователю выполнять данное действие

P.s. jwt повышает удобство и скорость разработки за счёт универсальности. К примеру для реализации web socket использую laravel-echo который использует туже самую авторизацию jwt

Comments

[Mr_Romanov]

А фронт идёт отдельным проектом? Или в этом же где api?

[Сергей Кривошеев]

Mr_Romanov, все в одном проекте и вебпак настроен с коробки. Laravel и vue интегрированны из коробки https://laravel.ru/posts/714

[Mr_Romanov]

Сергей Кривошеев, это я знаю :) я про то что blade всё равно принимает участие? Как вызывается vue app? В blade или другим способом?

[Сергей Кривошеев]

Mr_Romanov, да делаешь один шаблон blade в него вставляешь пустую страницу с подключением vue app.js. Все остально реализуешь через роуты api

[Mr_Romanov]

Сергей Кривошеев, я разобрался :) https://blog.peterplucinski.com/setting-up-jwt-aut... очень помогло в понимании построении правильной конструкции.

Ну и вам большое спасибо за направление движения

[Сергей Кривошеев]

Mr_Romanov, рад что помог. Я сам недавно начал изучать laravel и vue. И пока нет реального проекта решил подготовить для себя удобный стек для дальнейшей работы. Посмотрите ещё laravel-echo я через него организовал web socket соединение и доставкой сообщений на клиент (если инициатор laravel)

Answer 2

[Александр Аксентьев]

Безопасно ли ограничиваться проверками на уровне blade

Откуда блейд вылез, если у вас всё на vue я чёт ваще не понял.

Если у вас бекенд/апи отдаёт любую инфу без авторизации и проверки на права, а они должны быть, то естественно надо на беке это чекать в апи в том числе.

Comments

[Sanes]

blade вылез из view

[Mr_Romanov]

Про апи всё понятно, я просто запутался в правильной структуре фронта, я расчитывал делать app для vue в blade, в нём задействовать часть проверок типа авторизации и после проверок пускать на VUE компоненты.

Это неправильно?

[Александр Аксентьев]

Mr_Romanov, общение же с апи идет потом фронта, и что вы будете тогда делать когда надо права будет проверить перед отдачей данных

[Сергей Кривошеев]

Начните реализовывать SPA и у вас в голове все выстроится на своих местах