Как защитить get маршруты?

Question

[VoRoN1999]

Есть маршруты для Ajax запросов, где ответ приходит в JSON формате. Если пользователь заходит во этому url, он видит этот массив. Как закрыть для пользователей доступ к таким маршрутам?
Laravel 6x

Comments

[JhaoDa]

Начать читать документацию, в частности, раздел про аутентификацию.

[kafkiansky]

Есть маршруты для Ajax запросов

ajax запросы гетом, что ли, уходят? если сделать постом и ловить MethodNotAllowedHttpException, то пользователь не увидит ваши массивы

[VoRoN1999]

JhaoDa, Можно ссылочку с якорем?
kafkiansky, Да, гетом. Не костыль ли это будет?

[JhaoDa]

VoRoN1999, можно читать документацию. Всю.

[kafkiansky]

VoRoN1999, костыль делать запросы постом?)

Answer 1

[jazzus]

Если закрыть сам переход юзера по маршруту и просмотр json то сделать middleware isAjax c проверкой

if (!$request->ajax()) {
 abort(404);
}
return $next($request);

При попытке зайти отдаст 404. Но это не "защита" т.к. содержимое в network всегда есть в полном составе. Лучшая защита это отдавать только те данные, которые юзер видит на странице и не больше. Т.е. использовать API Resources, protected $hidden в моделях и точно составлять json ответ

Answer 2

[Антон Антон]

От совсем тупых поможет дополнительный заголовок в запросе, посылаемом js и проверкой его на сервере. Можно одноразовый.

Answer 3

[irtf]

Лучший вариант немного спрятать - делать GET-запросы из JavaScript файлов. Именно файлов, а не функций, прописанных прямо на странице. Таким образом Вы сможете немного спрятать ссылки от посторонних глаз. Но, к сожалению, скрыть полностью не получится.

Comments

[irtf]

Алексей, Я об этом и говорю: можно скрыть с глаз на основной странице. Но в целом это все будет доступно всем.

Answer 4

[Северное Сияние]

Правильный ответ - никак.
Аякс-запрос ничем не отличается от любого другого хттп-запроса.
И он не должен скрываться в нормальных условиях. И не скрывается.

Либо делай авторизацию.

Answer 5

[xmoonlight]

Через отбивку об окончании загрузки.