Autentikasi & keamanan
API v1 (/api)
Header X-Token (auth.xtoken)
Rute yang dilindungi grup Route::middleware(['auth.xtoken', 'verified:api']) mengharuskan mekanisme autentikasi yang diimplementasikan di middleware App\Http\Middleware\XToken (alias auth.xtoken). Biasanya berupa token bearer atau header kustom sesuai kontrak aplikasi mobile/web—periksa implementasi kelas tersebut untuk nama header, format payload, dan penyimpanan token.
Verifikasi email (verified:api)
Middleware verified:api memastikan alamat email pengguna telah diverifikasi untuk guard api sebelum mengakses endpoint sensitif.
Sanctum (endpoint bawaan)
Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
return $request->user();
});
Endpoint ini untuk penggunaan Sanctum (stateful/SPA); mayoritas alur bisnis memakai auth.xtoken.
reCAPTCHA (grecaptcha.verify)
Beberapa endpoint publik (registrasi, inquiry, login tertentu, deposit tunai) memakai GoogleRecaptchaVerify untuk mengurangi abuse.
Rate limiting (throttle.custom)
Throttle kustom (CustomThrottle) dipakai pada login, refresh token, PIN, dan titik lain—lihat parameter di routes/api.php.
Webhook & leader
leader.only— membatasi pemrosesan webhook ke satu instance/worker (misalnya hindari double processing di cluster).walletStatus— parameterDEPO/WDuntuk mengaktifkan/menonaktifkan fitur deposit atau withdrawal sesuai konfigurasi dompet.
Panel admin
- Otentikasi sesi Laravel (
auth,verified). - Google 2FA (
google2fa) setelah login untuk akses fitur admin.
Ringkasan alias middleware
| Alias | Kelas |
|---|---|
auth.xtoken | App\Http\Middleware\XToken |
grecaptcha.verify | App\Http\Middleware\GoogleRecaptchaVerify |
throttle.custom | App\Http\Middleware\CustomThrottle |
walletStatus | App\Http\Middleware\WalletStatus |
leader.only | App\Http\Middleware\LeaderOnly |
Definisi lengkap ada di app/Http/Kernel.php.