0
我用lucadegasperi的oauth2插件创建了Laravel(5.2)API。我使用PasswordGrant作为授予类型。一切正常,但用户A也可以看到来自用户B的数据。 如何确保用户只能获取自己的数据。我如何授权用户只使用Laravel oauth2 API查看他自己的数据?
例如ID为123的用户只能通过此URL获取数据:sumtotal/123
我用lucadegasperi的oauth2插件创建了Laravel(5.2)API。我使用PasswordGrant作为授予类型。一切正常,但用户A也可以看到来自用户B的数据。 如何确保用户只能获取自己的数据。我如何授权用户只使用Laravel oauth2 API查看他自己的数据?
例如ID为123的用户只能通过此URL获取数据:sumtotal/123
我创建了一个中间件并检查了这些ID。
public function handle($request, Closure $next)
{
$request_id=$request->route('cid');
$user_id = Authorizer::getResourceOwnerId();
if($request_id==$user_id){
return $next($request);
}
abort(403, 'Access denied');
}