Обязательно ли нужен токен в ларавель?

Question

[Никита Стечкин]

Обязательно ли для авторизованного пользователя создавать токен используя passport или можно без него?

Comments

[JhaoDa]

Ты нас спрашиваешь? Фреймворку никакие токены не нужны, а нужен ли токен в твоём проекте — тебе лучше знать.

[Модератор]

Никита Стечкин, дорогой пользователь, настоятельно рекомендуем еще раз обратить самое пристальное внимание на п. 3.1 регламента работы сервиса (и, в особенности, на его последний абзац). В противном случае, ваши вопросы будут удаляться по причине тег-спама, а систематические нарушения приведут к блокировке учетной записи.

[Sanes]

Покажите этот улей, который вас на Laravel направляет.

[Никита Стечкин]

Вот он https://qna.habr.com/user/Sanes

[Никита Стечкин]

Модератор, понял

Answer 1

[Илья Чубаров]

Исходить надо из того какая у вас стоит задача:
- Обычный сайт с серверным рендором
Это старая схема, где в Laravel для этого все есть. И базовая аутентификация через cookie и хранением сессий в разных местах.
- Сайт с отдельным клиентом
Тут бэкэнд обычно разделен от фронтенда. От бэкэнда нужно api(restful, graphql), клиент уже реализовывается как правило на js.
Тут уже может потребываться токен.
- Сайт с не одним клиентом
Тут может быть и сам сайт, и может мобильное приложение и любой другой, которой использует API бэкэнда.
Тут Passport более востребован но не обязателен.
- Сайт с требованием выдавать доступ сторонним клиентам
Тут Passport необходим

Проще говоря Passport берет на себя работу по организации аутентификации и авторизации внешних клиентов в ваш бэкэнд и вытекающие из этого последствия:
- хранение
- шифрование
- авторизация
- управление
- реализация Auth2.0

Для просто API laravel рекомендует sanctum

Comments

[Никита Стечкин]

Здравствуйте, спасибо за ваш ответ, хотелось бы уточнить, может ли сайт с использованием restful api осуществлять регистрацию без токена, храня данные в куках и сессиях?

[Илья Чубаров]

В теории для restful ничего не мешает использовать cookie.
REST требует чтобы информации о сеансе хранилась на стороне клиента а не сервере.
Часть информация касающиеся аутентификации, из за безопастности должна храниться на сервере.
Есть те кто считает что аутентификация должна выходить за рамки REST.
С практической точки зрения token более универсален, в случае cookie удобнее для браузеров.
В Laravel есть некий дизайн инструментов для REST:
- Например Route::get,post,put, delete...
- Отправка из форм этими методами
- Методы в контроллерах store, edit и так далее
Так что ничего не мешает писать в самом Laravel, если client к примеру не SPA приложение.
Рекомендую для расширение кругозора, погуглить на английском эти вопросы, так же для ознакомления с принципами есть туториал

[Никита Стечкин]

Илья Чубаров, понял, спасибо за помощь

Answer 2

[jazzus]

Если у тебя настоящее апи (а не просто контроллеры в Api неймспейсе) то нужен токен. Т.е. там где нет сессий, проверки csrf и тд. Актуально для сайта с мобильным приложением, крупных проектов разделенных на сервисы и т.д.. Если просто сайт без понимания что происходит и зачем, то делаешь так и не паришься. Переделать всегда можно.

Comments

[Никита Стечкин]

А для чего вообще нужны токены?

[jazzus]

Никита Стечкин, для авторизации запросов к серверу. В гугле полно информации на эту тему.

[Никита Стечкин]

jazzus, понял,спасибо