Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

Kullanıcı giriş olmadan (User modelini kullanmadan) Laravel Passport kullanımı

MucahitPeker

Selamlar,

Passport paketi ile public kullanıcıların form doldurduğu yapı için api hazırlıyorum. Bunun içinde güvenli olabilmesi için passport kullanmak istiyorum. Herhangi bir kullanıcı adı ve şifreye ihtiyacım yok aslında. app_id, app_secret ile token üretecek ve bu token ile formu dolduran kullanıcıları listeleyecek.
User modelini kullanmadan nasıl yapabilirim? Fikir verebilir misiniz?

Teşekkürler.

mgsmus

MucahitPeker https://laravel.com/docs/9.x/passport#client-credentials-grant-tokens

MucahitPeker

mgsmus Bilgilendirme için Teşekkürler, client_id ve client_secret ile post ettiğimde aşağıdaki hatayı alıyorum.
Sebebini tam anlamadım aslında örneklere baktığımda sürekli user'dan acces_token üretiyor.
User tablosunu ve modellerini silsem sorun yaratır mı acaba?
Örnek iletebilir misiniz?

POST- http://127.0.0.1:8000/api/v1/oauth/token { "client_id":"MeUF5uaOr7hKyO3FpUKkrovt7xGdqTAUZunRMxxZ", "client_secret":"95c50d7b-192e-42c8-9901-6f5f691ef5ae" }
{ "message": "Unauthenticated." }

mgsmus

MucahitPeker /oauth/token adresine Content-Type: application/json header'ı ile şunları POST ile gönderiyorsunuz:

{
  "grant_type": "client_credentials",
  "client_id": "MeUF5uaOr7hKyO3FpUKkrovt7xGdqTAUZunRMxxZ",
  "client_secret": "95c50d7b-192e-42c8-9901-6f5f691ef5ae",
  "scope": ""
}

grant_type olarak client_credentials gönderdiğimiz için User kullanmadan token üretecek.

MucahitPeker

mgsmus Evet şimdi oldu 😀 grant_type ve scope göndermiyordum, apiye istek atacak biri için gereksiz aslında bunun kendim arka tarafta düzenlemem gerek. Çok teşekkürler

mgsmus

MucahitPeker Passport OAuth protokolü kullanarak authentication sağlayan bir paket. Aslında öğrenmenz gereken Passport değil OAuth. Eğer tam anlamıyla ne olduğunu öğrenmek isterseniz: https://oauth.net/2/

MucahitPeker

mgsmus Çok teşekkürler inceleyeceğim.

MucahitPeker

mgsmus Ek olarak bir SPA uygulaması için Passport OAuth2.0 kullanmak mantıklı mı peki?
Araştırma yaptığımda güvenlik açısından Passport daha Sanctum'a göre daha güvenli geldi, OAuth 2.0 kaynaklı sanırım.

mgsmus

MucahitPeker Sanctum aynı domain altındaki API ve SPA arasında cookie ile auth özelliği; hem aynı domain hem de farklı domainler arasında token auth özelliği sunuyor. Bu açıdan Sanctum SPA için daha uygun. Pasaport'de bu yok ama onda da OAuth özellikleri var. İkisi farklı şeyler. Sanctum OAuth içindeki personal access token özelliği gibi ama cookie ile session auth yeteneği var. Sanctum User auth olduğu için, token kullanıcı adı ve şifre ile alınıyor, bu açıdan id/secret'a göre daha güvensiz gibi gözükebilir ama bunun sebebi Sanctum değil kullanıcıların kendi hataları. Sonuçta kullanıcı OAuth bilgilerini de bir yerde saklıyor, onların da başkasının eline geçme riski her zaman var. O yüzden ikisi arasında güvenlik karşılaştırması yapmak doğru olmaz. Endişesi olan 2FA ekler. Forumda Sanctum arayabilirsiniz, bayağı bir şeyler anlatmıştım.

MucahitPeker

mgsmus Mantığını anladım şimdi, kavramları da oturtmam lazım. Desteğiniz için teşekkürler