Laravel przekierowuje wszystkie żądania do HTTPS

Inną odpowiedzią może być pozwolenie serwerowi www na to. Jeśli używasz Apache, możesz użyć funkcji RedirectSSL, aby upewnić się, że wszystkie żądania trafiają do wersji HTTPS Twojej witryny, a jeśli nie, przekieruj je. To się stanie, zanim Laravel dostanie prośbę.

Apache RedirectSSL

server {
    listen 80;
    server_name mydomain.com;
    rewrite ^ https://$server_name$request_uri? permanent;
}

server {
    listen 443;
    server_name mydomain.com;
    ssl on;
    # other server config stuff here.
}

Osobiście wybrałbym tę opcję, ponieważ samo PHP nie musi niczego przetwarzać. Generalnie tańsze jest przetworzenie takiego czeku na poziomie serwera www.

Dla użytkowników korzystających z Laravel 4/5 i Elastic Beanstalk, wymuszanie HTTPS jest trudne przy użyciu tych metod, ponieważ isSecure() zwróci false. Ponadto, użycie przekierowań .htaccess spowoduje pętlę przekierowań dla Chrome i opóźnione czasy ładowania strony w Firefoksie.

Ten zestaw jest dla

• Laravel 5 i może pracować dla Laravel 3 / 4
• Aplikacja załadowana Na Elastic Beanstalk z uruchomionymi instancjami serwera EC2
• Route 53 używany dla DNS rozdzielczość
Cloudfront używany do globalnej sieci CDN wszystkich zasobów i wymuszania HTTPS]}
• uruchamiam aws na komputerze z systemem Windows. Linux może się nieznacznie różnić?

Po wielu godzinach własnych prób, udało mi się przesłać wszystkie żądania HTTP do HTTPS, wykonując następujące kroki:

1. Uzyskaj certyfikat SSL. Przewodniki i dostawcy są liczne i można je znaleźć za pomocą wyszukiwarki Google.

2. Prześlij certyfikat do AWS za pomocą aws polecenie konsoli. Struktura polecenia to:

   aws iam upload-server-certificate --server-certificate-name CERTIFICATE_NAME --certificate-body "file://PATH_TO_CERTIFICATE.crt" --private-key "file://YOUR_PRIVATE_KEY.pem" --certificate-chain "file://YOUR_CERTIFICATE_CHAIN.ca-bundle" --path /cloudfront/
   

3. Utwórz elastyczną aplikację łodygi fasoli. Przejdź przez proces konfiguracji. Po skonfigurowaniu aplikacji przejdź do konfiguracji -> warstwa sieci -> Load Balancing i kliknij ikonę koła zębatego .

4. Wybierz Secure listener port jako 443. Wybierz protokół jako HTTPS . Wybierz CERTIFICATE_NAME z Krok 2 dla SSL identyfikator certyfikatu . Zapisz konfigurację.

5. Przejdź do konsoli . Kliknij instancje EC2 . Kliknij Load Balancers . Kliknij w load balancers. Kliknij instancje i przewiń w dół, aby zobaczyć instancje EC2 przypisane do tego load balancer. Jeśli instancja EC2 ma taką samą nazwę jak adres URL aplikacji( lub coś podobnego), zwróć uwagę na nazwę DNS dla load balancer. Powinien być w formacie awseb-e-...

6. Wróć do konsoli . Kliknij CloudFront . Kliknij Utwórz Dystrybucję. Wybierz dystrybucję Web.

7. Ustaw dystrybucję. Ustaw nazwę domeny wyjściowej na nazwę DNS load balancer znalezioną w kroku 5 . Ustawia Politykę protokołu przeglądarki na przekierowanie HTTP do HTTPS. Ustaw Prześlij ciągi zapytań do tak . Set Alternate Domain Nazwy (CNAMEs) do adresów URL, których chcesz użyć w swojej aplikacji. Ustaw certyfikat SSL na CERTIFICATE_NAME, który przesłałeś w kroku 2 . Stwórz swoją dystrybucję.

8. Kliknij nazwę swojej dystrybucji w CloudFront. Kliknij Origins , wybierz swoje pochodzenie i kliknij Edytuj . Upewnij się, że twoje Origin Protocol Policy to przeglądarka dopasowań . Wracaj. Kliknij Behaviors , wybierz swoje pochodzenie i kliknij Edytuj . Zmień Prześlij nagłówki do białej listy i dodaj Host . Zapisz.

9. Przejdź do konsoli . Kliknij Route 53 . Kliknij Hosted Zones. Kliknij Utwórz Strefę Hostowaną . Skonfiguruj nazwę domeny. Po skonfigurowaniu kliknij Utwórz zestaw rekordów. Wpisz swój rekord A. Wybierz Alias jako tak . Twój Alias Target to twoja dystrybucja CloudFront. Zapisz płytę.

10. Skonfiguruj swój serwery nazw dla Twojej domeny, aby wskazywały na serwery nazw Route 53. Poczekaj, aż wszystko się rozprzestrzeni, co może potrwać kilka godzin. Przejdź do swojego adresu URL. Zostaniesz automatycznie przekierowany do HTTPS.

11. "ale czekaj, moje linki nie idą do HTTPS!?"Musisz obsłużyć nagłówek X-Forwarded-Proto, który przejdzie CloudFront. Dla Laravel 4, postępuj zgodnie z tym przewodnikiem . Dla Laravel 5 Uruchom to:

    php artisan make:middleware EB_SSL_Trust
    

A następnie dodaj to do pliku EB_SSL_Trust:

    public function handle($request, Closure $next)
    {
        $request->setTrustedProxies( [ $request->getClientIp() ] );
        return $next($request);
    }

I dodaj to do pliku App\Http\Kernel.php:

    protected $middleware = [
        ...
        'App\Http\Middleware\EB_SSL_Trust',
        ...
    ];

Uwaga: wszystkie zasoby, takie jak CSS, JS lub obrazy, muszą być wysyłane przez HTTPS. Jeśli używasz Laravel do tworzenia tych linków, użyj secure_asset(), aby utworzyć adres URL HTTPS w widoku.

Używam .htaccess Apache for laravel 4.2.X

Oryginalny Plik

<IfModule mod_rewrite.c>
    <IfModule mod_negotiation.c>
        Options -MultiViews
    </IfModule>

    RewriteEngine On

    # Redirect Trailing Slashes...
    RewriteRule ^(.*)/$ /$1 [L,R=301]

    # Handle Front Controller...
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^ index.php [L]
</IfModule>

Edycja pliku / public/.htaccess

 <IfModule mod_rewrite.c>
    <IfModule mod_negotiation.c>
        Options -MultiViews
    </IfModule>

    RewriteEngine On

    # Redirect Trailing Slashes...
    RewriteCond %{HTTPS} off 
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 


    # Handle Front Controller...
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^ index.php [L]
</IfModule>

Stosowanie filtrów zostało wycofane w Laravel 5.1.*. To idealna praca dla MiddleWare.

Utwórz Middleware i w sekcji handle umieść

public function handle($request, Closure $next)
{
    if(! $request->secure()) {
        return redirect()->secure($request->path());
    }
    return $next($request);
}

Następnie po prostu zarejestruj swoje oprogramowanie pośredniczące w jądrze.php i używać go ze swoimi trasami lub kontrolerami.

Łączenie poprzednich odpowiedzi i aktualizacja dla Laravel 4.2:

Route::filter('secure', function () {
    if (! Request::secure()) {
        return Redirect::secure(
            Request::path(),
            in_array(Request::getMethod(), ['POST', 'PUT', 'DELETE']) ? 307 : 302
        );
    }
});
Route::when('*', 'secure');

Jeśli chcesz przekierować na ten sam adres URL, ale używając https, powinieneś użyć Request::getRequestUri() zamiast Request::path():

App::before(function($request)
{
    if( ! Request::secure())
    {
         return Redirect::secure(Request::getRequestUri());
    }
});

Jeśli masz problem, gdzie z jakiegoś powodu Request::secure() zwraca false, nawet jeśli adres url to https, może to być spowodowane tym, że wartość $_SERVER['HTTPS'] nie istnieje.

App::before(function ($request){
    // Force https
    if(!Request::secure() && array_get($_SERVER, 'SERVER_PORT') != 443){
        return Redirect::secure(Request::path());
    }
});

Miałem problem z wymuszeniem ssl podczas wykonywania żądania POST. To zawsze przekierowywałoby, aby dostać. Dzieje się tak, ponieważ Redirect::secure() domyślnie używa przekierowania 302.

Aby upewnić się, że twoje żądanie postu jest poprawnie przekierowane, użyj czegoś takiego jak

return Redirect::secure("your/path/here", 307)

To sprawi, że twoje żądanie zachowa oryginalną metodę żądania po wystąpieniu przekierowania.

Nie rozumiem szczegółowo HTTP i HTTPS, więc przepraszam, jeśli ta odpowiedź nie jest zbyt dobra.

Rozumiem, że istnieje problem, że nawet jeśli klient i (określony klient) serwer używają HTTPS, Request::secure() może zwrócić false, ponieważ aplikacja może działać na innym serwerze, który prawdopodobnie nie odbiera żądania https.

Hostuję moją aplikację laravel w heroku i wydaje się, że to robi. My guess czy to podstawowy (klient serwer jest load balancer i gdy żądanie jest przekazywane, dociera do innego serwera jako normalne żądanie HTTP.

Gdy takie przekierowanie może się zdarzyć, nie należy sprawdzać, czy Request::secure() jest true. Zostałem polecony (przez kogoś w #laravel @ irc.freenode.com), aby również sprawdzić Request::server('HTTP_X_FORWARDED_PROTO'), aby sprawdzić, czy jest równa 'https'.

Więc jeśli zamierzasz postępować zgodnie z innymi wskazówkami tutaj i wykonać przekierowanie w przypadku niezabezpieczenia, spróbuj sprawdzić również ten parametr serwera.

Dla laravel 5.1 należy użyć podanego kodu w App\Http\Providers\RouteServiceProvider@boot

$router->filter('force.ssl', function () {
      if ( ! request()->secure() ) {
           return redirect()->secure(request()->path());
      }
});

Teraz możesz użyć tego w pliku routes.

Route::group(['before' => 'force.ssl'], function () {
    // Routes here
});

Możesz również dodać ['before' => 'force.ssl'] w $router->group() w

App\Http\Providers\RouteServiceProvider@map

To działało dla mnie w Apache 2.4

Od <IfModule mod_rewrite.c> RewriteEngine On RewriteRule ^(.*)$ public/$1 [L] </IfModule>

To <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] RewriteRule ^(.*)$ public/$1 [L] </IfModule>

Jeśli za proxy i Request:: secure() nie działa.

App::before( function( $request )
{
  // set the current IP (REMOTE_ADDR) as a trusted proxy
  Request::setTrustedProxies( [ $request->getClientIp() ] );
});

Łączenie poprzednich odpowiedzi z wykorzystaniem stałych i metod dostępnych w Laravel 4.2.

Trasy.php

Route::when('*', 'secure');

Filtry.php

use Illuminate\Http\Response as IlluminateResponse;

Route::filter('secure', function ()
{
    if ( ! Request::secure() && Request::getPort() != 443)
    {
        return Redirect::secure(
            Request::path(),
            in_array(Request::getMethod(), ['POST', 'PUT', 'DELETE'])
                ? IlluminateResponse::HTTP_TEMPORARY_REDIRECT
                : IlluminateResponse::HTTP_FOUND
        );
    }
});

Jeśli musisz użyć samego Laravela 4 do obsługi przekierowania (tak jak ja), wybrałbym następującą konfigurację (Wyjaśnienie jako komentarz w kodzie):

Filtr trasy:

// app/filters.php
Route::filter('ssl.force', function()
{
    if(App::environment('production') && !Request::secure())
    {
        // don't set a session cookie when redirecting to another scheme to 
        // avoid dropping the session when switching scheme
        Config::set('session.driver', 'array');
        // preserve query string while redirecting by using fullUrl()
        // instead of Redirect::secure + Request::path()
        $url = str_replace('http://', 'https://', Request::fullUrl());
        return Redirect::to($url, 302, array(), true);
    }

    // secure cookies for https
    Config::set('session.secure', Request::secure());
});

Następnie zastosuj filtr jako filtr przed do trasy lub grupy tras. eg:

// app/routes.php
Route::group(array('before' => 'ssl.force'), function () {
    // SSL routes
});