Чтобы прояснить ситуацию, давайте возьмем, например, Facebook. Существуют сторонние веб-сайты, на которых они хотят иметь учетную запись на своем сайте, используя Facebook (войдите с опцией Facebook). После использования этой опции вы можете четко видеть, что они получили доступ к вашим данным профиля, потому что вы подтвердили, что дали область действия. В этом сценарии сторонние веб-сайты являются клиентами, которые хотят получить доступ к ресурсу из Facebook, но их следует отличать от владельца ресурса, потому что это не так, поэтому у них ограниченный доступ из-за области действия.
т отправляет имя пользователя и пароль на сервер.
Затем сервер проверяет, аутентифицирован ли этот пользователь.
Если да, сервер возвращает токен доступа для клиента ...
Затем пользователь может использовать этот токен доступа для доступа к защищенным ресурсам ...
Преимущество здесь в том, что мы не отправляем информацию о пользователях через вызовы API, и токен доступа не будет работать долго, поэтому хакеры не смогут узнать информацию об аутентификации пользователя (имя пользователя и пароль), и если он обнаруживает, что токен доступа не будет длиться достаточно долго, чтобы что-то с ним сделать.
Вот как я понимаю безопасность API паспортов Laravel.
Смущает то, что при первом вызове API пользователь должен отправить имя пользователя и пароль, поэтому у хакера все еще есть большой шанс узнать информацию о пользователе !!!
Я знаю, что с моим пониманием что-то не так, и поэтому я запутался, любое объяснение было бы очень полезно.