У меня есть SPA (на основе Angular), опубликованный на my-example-domain.com, и rest API (на основе Laravel 5.3), представленный на my-example-domain.com/api. Все API являются общедоступными, поэтому неаутентифицированный пользователь может использовать мой Angular SPA и вызывать backend API.
Я хотел бы разрешить ТОЛЬКО моему SPA вызывать мой backend rest API, поэтому, например, никто не должен иметь возможность вызывать мои rest API через rest client / curl.
Как я могу достичь этой цели? Какой тип аутентификации мне нужно настроить в моем приложении Laravel? Подходит ли Passport?