Laravel 5 - เปลี่ยนเส้นทางไปยัง HTTPS

กำลังทำงานกับโปรเจ็กต์ Laravel 5 แรกของฉันและไม่แน่ใจว่าจะวางตรรกะเพื่อบังคับ HTTPS บนแอปของฉันได้ที่ไหน ข้อสรุปคือมีหลายโดเมนที่ชี้ไปที่แอปและมีเพียงสองในสามเท่านั้นที่ใช้ SSL (โดเมนที่สามเป็นโดเมนสำรองเรื่องยาว) ดังนั้นฉันต้องการจัดการสิ่งนี้ด้วยตรรกะของแอปของฉันมากกว่า. htaccess

ใน Laravel 4.2 ฉันเปลี่ยนเส้นทางสำเร็จด้วยรหัสนี้ซึ่งอยู่ในfilters.php:

App::before(function($request)
{
    if( ! Request::secure())
    {
        return Redirect::secure(Request::path());
    }
});

ฉันคิดว่ามิดเดิลแวร์เป็นสิ่งที่ควรนำมาใช้ แต่ฉันไม่สามารถเข้าใจได้ว่าจะใช้มัน

ขอบคุณ!

UPDATE

หากคุณใช้ Cloudflare เหมือนฉันสิ่งนี้สามารถทำได้โดยการเพิ่ม Page Rule ใหม่ในแผงควบคุมของคุณ

คุณสามารถทำให้มันใช้งานได้กับคลาสมิดเดิลแวร์ ให้ฉันเป็นความคิด

namespace MyApp\Http\Middleware;

use Closure;
use Illuminate\Support\Facades\App;

class HttpsProtocol {

    public function handle($request, Closure $next)
    {
            if (!$request->secure() && App::environment() === 'production') {
                return redirect()->secure($request->getRequestUri());
            }

            return $next($request); 
    }
}

จากนั้นใช้มิดเดิลแวร์นี้กับทุกคำขอที่เพิ่มการตั้งค่ากฎที่Kernel.phpไฟล์ดังนี้:

protected $middleware = [
    'Illuminate\Foundation\Http\Middleware\CheckForMaintenanceMode',
    'Illuminate\Cookie\Middleware\EncryptCookies',
    'Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse',
    'Illuminate\Session\Middleware\StartSession',
    'Illuminate\View\Middleware\ShareErrorsFromSession',

    // appending custom middleware 
    'MyApp\Http\Middleware\HttpsProtocol'       

];

จากตัวอย่างด้านบนมิดเดิลแวร์จะเปลี่ยนเส้นทางทุกคำขอไปยัง https ถ้า:

1. คำขอปัจจุบันไม่มีโปรโตคอลที่ปลอดภัย (http)
2. productionหากสภาพแวดล้อมของคุณคือเท่ากับ ดังนั้นเพียงปรับการตั้งค่าตามความต้องการของคุณ

Cloudflare

ฉันใช้รหัสนี้ในสภาพแวดล้อมการใช้งานจริงด้วย WildCard SSL และรหัสทำงานได้อย่างถูกต้อง ถ้าฉันลบ&& App::environment() === 'production'และทดสอบใน localhost การเปลี่ยนเส้นทางก็ใช้ได้เช่นกัน ดังนั้นการมีหรือไม่มี SSL ติดตั้งไม่ใช่ปัญหา ดูเหมือนว่าคุณต้องให้ความสนใจอย่างมากกับเลเยอร์ Cloudflare ของคุณเพื่อที่จะเปลี่ยนเส้นทางไปยังโปรโตคอล Https

แก้ไข 23/03/2558

ขอบคุณ@Adam Linkคำแนะนำ: น่าจะเกิดจากส่วนหัวที่ Cloudflare ส่งผ่าน CloudFlare มีแนวโน้มที่จะเข้าถึงเซิร์ฟเวอร์ของคุณผ่าน HTTP และส่งผ่านส่วนหัว X-Forwarded-Proto ที่ประกาศว่ากำลังส่งต่อคำขอ HTTPS คุณต้องเพิ่มบรรทัดอื่นในมิดเดิลแวร์ของคุณที่ระบุว่า ...

$request->setTrustedProxies( [ $request->getClientIp() ] ); 

... เพื่อความไว้วางใจส่วนหัวที่ CloudFlare กำลังส่ง การดำเนินการนี้จะหยุดการวนรอบการเปลี่ยนเส้นทาง

แก้ไข 27/09/2016 - Laravel v5.3

เพียงแค่ต้องเพิ่มคลาสมิดเดิลแวร์ลงในwebกลุ่มในkernel.php file:

protected $middlewareGroups = [
    'web' => [
        \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
        \Illuminate\Session\Middleware\StartSession::class,
        \Illuminate\View\Middleware\ShareErrorsFromSession::class,

        // here
        \MyApp\Http\Middleware\HttpsProtocol::class

    ],
];

โปรดจำไว้ว่าwebกลุ่มนั้นถูกนำไปใช้กับทุกเส้นทางโดยค่าเริ่มต้นดังนั้นคุณไม่จำเป็นต้องตั้งค่าwebอย่างชัดเจนในเส้นทางหรือตัวควบคุม

แก้ไข 23/08/2018 - Laravel v5.7

• เพื่อเปลี่ยนเส้นทางคำขอขึ้นอยู่กับสภาพแวดล้อมที่คุณสามารถApp::environment() === 'production'ใช้ได้ env('APP_ENV') === 'production'สำหรับรุ่นก่อนหน้านี้
• การใช้\URL::forceScheme('https');จริงไม่เปลี่ยนเส้นทาง เพียงแค่สร้างลิงก์https://เมื่อมีการแสดงผลเว็บไซต์

ตัวเลือกอื่นที่ใช้ได้ผลสำหรับฉันใน AppServiceProvider วางรหัสนี้ในวิธีการบูต:

\URL::forceScheme('https');

ฟังก์ชั่นที่เขียนก่อน forceSchema ('https') นั้นผิด ForceScheme

หรือหากคุณใช้ Apache คุณสามารถใช้.htaccessไฟล์เพื่อบังคับให้ URL ของคุณใช้httpsคำนำหน้า ใน Laravel 5.4 ฉันได้เพิ่มบรรทัดต่อไปนี้ใน.htaccessไฟล์ของฉันและมันก็ใช้ได้สำหรับฉัน

RewriteEngine On

RewriteCond %{HTTPS} !on
RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

สำหรับ laravel 5.4 ใช้รูปแบบนี้เพื่อรับ https เปลี่ยนเส้นทางแทน. htaccess

namespace App\Providers;

use Illuminate\Support\Facades\URL;
use Illuminate\Support\ServiceProvider;

class AppServiceProvider extends ServiceProvider
{
    public function boot()
    {
        URL::forceScheme('https');
    }
}

คล้ายกับคำตอบของ manix แต่อยู่ที่เดียว มิดเดิลแวร์เพื่อบังคับใช้ HTTPS

namespace App\Http\Middleware;

use Closure;

use Illuminate\Http\Request;

class ForceHttps
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request $request
     * @param  \Closure $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        if (!app()->environment('local')) {
            // for Proxies
            Request::setTrustedProxies([$request->getClientIp()]);

            if (!$request->isSecure()) {
                return redirect()->secure($request->getRequestUri());
            }
        }

        return $next($request);
    }
}

นี่คือสำหรับ Larave 5.2.x และสูงกว่า หากคุณต้องการมีตัวเลือกในการแสดงเนื้อหาบางอย่างผ่าน HTTPS และอื่น ๆ ผ่าน HTTP นี่คือวิธีแก้ปัญหาที่เหมาะกับฉัน คุณอาจสงสัยว่าเหตุใดบางคนจึงต้องการแสดงเฉพาะเนื้อหาบางส่วนผ่าน HTTPS ทำไมไม่ให้บริการทุกอย่างผ่าน HTTPS?

แม้ว่าการให้บริการทั้งไซต์ผ่าน HTTPS เป็นเรื่องที่ดี แต่การตัดทุกอย่างผ่าน HTTPS จะมีค่าใช้จ่ายเพิ่มเติมในเซิร์ฟเวอร์ของคุณ จำไว้ว่าการเข้ารหัสไม่ได้มีราคาถูก ค่าใช้จ่ายเล็กน้อยยังส่งผลกระทบต่อเวลาตอบสนองของแอป คุณสามารถโต้แย้งได้ว่าฮาร์ดแวร์สินค้าราคาถูกและผลกระทบน้อยมาก แต่ฉันพูดนอกเรื่อง :) ฉันไม่ชอบความคิดในการให้บริการหน้าเนื้อหาทางการตลาดขนาดใหญ่ที่มีรูปภาพ ฯลฯ ผ่าน https นี่มันไปแล้ว คล้ายกับที่คนอื่นแนะนำข้างต้นโดยใช้มิดเดิลแวร์ แต่เป็นโซลูชันเต็มรูปแบบที่ช่วยให้คุณสามารถสลับไปมาระหว่าง HTTP / HTTPS ได้

ก่อนอื่นให้สร้างมิดเดิลแวร์

php artisan make:middleware ForceSSL

นี่คือลักษณะของมิดเดิลแวร์ของคุณ

<?php

namespace App\Http\Middleware;

use Closure;

class ForceSSL
{

    public function handle($request, Closure $next)
    {

        if (!$request->secure()) {
            return redirect()->secure($request->getRequestUri());
        }

        return $next($request);
    }
}

โปรดทราบว่าฉันไม่ได้กรองตามสภาพแวดล้อมเนื่องจากฉันมีการตั้งค่า HTTPS สำหรับทั้ง dev ในเครื่องและการใช้งานจริงดังนั้นจึงไม่จำเป็นต้องทำ

เพิ่มสิ่งต่อไปนี้ใน routeMiddleware \ App \ Http \ Kernel.php ของคุณเพื่อให้คุณสามารถเลือกและเลือกกลุ่มเส้นทางที่ควรบังคับใช้ SSL

    protected $routeMiddleware = [
    'auth' => \App\Http\Middleware\Authenticate::class,
    'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
    'can' => \Illuminate\Foundation\Http\Middleware\Authorize::class,
    'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
    'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
    'forceSSL' => \App\Http\Middleware\ForceSSL::class,
];

ต่อไปฉันต้องการรักษาความปลอดภัยการเข้าสู่ระบบ / สมัครใช้งานกลุ่มพื้นฐานสองกลุ่มและอื่น ๆ ที่อยู่เบื้องหลังมิดเดิลแวร์ Auth

Route::group(array('middleware' => 'forceSSL'), function() {
/*user auth*/
Route::get('login', 'AuthController@showLogin');
Route::post('login', 'AuthController@doLogin');

// Password reset routes...
Route::get('password/reset/{token}', 'Auth\PasswordController@getReset');
Route::post('password/reset', 'Auth\PasswordController@postReset');

//other routes like signup etc

});


Route::group(['middleware' => ['auth','forceSSL']], function()
 {
Route::get('dashboard', function(){
    return view('app.dashboard');
});
Route::get('logout', 'AuthController@doLogout');

//other routes for your application
});

ยืนยันว่ามิดเดิลแวร์ของคุณใช้กับเส้นทางของคุณอย่างถูกต้องจากคอนโซล

php artisan route:list

ตอนนี้คุณได้รักษาความปลอดภัยทุกรูปแบบหรือพื้นที่ที่ละเอียดอ่อนของแอปพลิเคชันของคุณแล้วตอนนี้กุญแจสำคัญคือการใช้เทมเพลตมุมมองของคุณเพื่อกำหนดลิงก์ที่ปลอดภัยและสาธารณะ (ไม่ใช่ https)

จากตัวอย่างด้านบนคุณจะแสดงลิงก์ที่ปลอดภัยของคุณดังต่อไปนี้ -

<a href="{{secure_url('/login')}}">Login</a>
<a href="{{secure_url('/signup')}}">SignUp</a>

ลิงก์ที่ไม่ปลอดภัยสามารถแสดงเป็นไฟล์

<a href="{{url('/aboutus',[],false)}}">About US</a></li>
<a href="{{url('/promotion',[],false)}}">Get the deal now!</a></li>

สิ่งนี้ทำหน้าที่แสดง URL ที่มีคุณสมบัติครบถ้วนเช่นhttps: // yourhost / login และhttp: // yourhost / aboutus

หากคุณไม่ได้แสดง URL ที่มีคุณสมบัติครบถ้วนด้วย http และใช้ URL ลิงก์สัมพัทธ์ ('/ aboutus') https จะยังคงอยู่หลังจากผู้ใช้เข้าชมไซต์ที่ปลอดภัย

หวังว่านี่จะช่วยได้!

สิ่งที่เกี่ยวกับการใช้ไฟล์. htaccessเพื่อเปลี่ยนเส้นทาง https? ควรวางไว้ในรูทโปรเจ็กต์ (ไม่ใช่ในโฟลเดอร์สาธารณะ) เซิร์ฟเวอร์ของคุณต้องได้รับการกำหนดค่าให้ชี้ไปที่ไดเรกทอรีรากของโครงการ

<IfModule mod_rewrite.c>
   RewriteEngine On
   # Force SSL
   RewriteCond %{HTTPS} !=on
   RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
   # Remove public folder form URL
   RewriteRule ^(.*)$ public/$1 [L]
</IfModule>

ฉันใช้สิ่งนี้สำหรับ laravel 5.4 (เวอร์ชันล่าสุดเมื่อเขียนคำตอบนี้) แต่ควรใช้งานได้กับเวอร์ชันฟีเจอร์แม้ว่า laravel จะเปลี่ยนหรือลบฟังก์ชันบางอย่างออกไป

คุณสามารถใช้ RewriteRule เพื่อบังคับให้ ssl ใน. htaccess โฟลเดอร์เดียวกันกับ index.php ของคุณ
โปรดเพิ่มเป็นแนบรูปภาพเพิ่มก่อนกฎอื่น ๆ ทั้งหมด

ฉันกำลังเพิ่มทางเลือกนี้เนื่องจากฉันประสบปัญหานี้มาก ฉันลองวิธีต่างๆทั้งหมดแล้วและไม่มีอะไรได้ผล ดังนั้นฉันจึงหาวิธีแก้ปัญหาสำหรับมัน อาจไม่ใช่ทางออกที่ดีที่สุด แต่ได้ผล -

FYI ฉันใช้ Laravel 5.6

if (App::environment('production')) {
    URL::forceScheme('https');
}

production <- ควรแทนที่ด้วยค่า APP_ENV ในไฟล์. env ของคุณ

ใน IndexController.php ใส่

public function getIndex(Request $request)
{
    if ($request->server('HTTP_X_FORWARDED_PROTO') == 'http') {

        return redirect('/');
    }

    return view('index');
}

ใน AppServiceProvider.php ใส่

public function boot()
{
    \URL::forceSchema('https');

}

ใน AppServiceProvider.php ทุกการเปลี่ยนเส้นทางจะไปที่ url https และสำหรับคำขอ http เราต้องเปลี่ยนเส้นทางหนึ่งครั้งใน IndexController.php เพียงแค่เราต้องทำเมื่อเปลี่ยนเส้นทาง

คำตอบข้างต้นไม่ได้ผลสำหรับฉัน แต่ดูเหมือนว่า Deniz Turan จะเขียน. htaccess ใหม่ด้วยวิธีที่ทำงานร่วมกับโหลดบาลานเซอร์ของ Heroku ที่นี่: https://www.jcore.com/2017/01/29/force-https -ON-Heroku โดยใช้-htaccess /

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

นี่คือวิธีการทำใน Heroku

ในการบังคับใช้ SSL บน dynos ของคุณ แต่ไม่ใช่ในเครื่องให้เพิ่มที่ส่วนท้ายของ. htaccess ของคุณในที่สาธารณะ /:

# Force https on heroku...
# Important fact: X-forwarded-Proto will exist at your heroku dyno but wont locally.
# Hence we want: "if x-forwarded exists && if its not https, then rewrite it":
RewriteCond %{HTTP:X-Forwarded-Proto} .
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

คุณสามารถทดสอบสิ่งนี้ในเครื่องของคุณโดยใช้:

curl -H"X-Forwarded-Proto: http" http://your-local-sitename-here

ซึ่งกำหนดส่วนหัว X ที่ส่งต่อไปยังแบบฟอร์มที่จะใช้กับ heroku

กล่าวคือเป็นการจำลองว่า heroku dyno จะเห็นคำขออย่างไร

คุณจะได้รับคำตอบนี้ในเครื่องของคุณ:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="https://tm3.localhost:8080/">here</a>.</p>
</body></html>

นั่นคือการเปลี่ยนเส้นทาง นั่นคือสิ่งที่ heroku จะคืนให้กับลูกค้าหากคุณตั้งค่า. htaccess ไว้ข้างต้น แต่มันไม่ได้เกิดขึ้นในเครื่องของคุณเนื่องจาก X-forwarded จะไม่ถูกตั้งค่า (เราแกล้งทำเป็น curl ด้านบนเพื่อดูว่าเกิดอะไรขึ้น)

หากคุณใช้ CloudFlare คุณสามารถสร้างกฎของเพจเพื่อใช้ HTTPS ได้ตลอดเวลา: สิ่งนี้จะเปลี่ยนเส้นทาง http: // ทุกคำขอไปยัง https: //

นอกจากนั้นคุณจะต้องเพิ่มสิ่งนี้ในฟังก์ชัน \ app \ Providers \ AppServiceProvider.php boot () ของคุณ:

if (env('APP_ENV') === 'production' || env('APP_ENV') === 'dev') {
     \URL::forceScheme('https');
}

เพื่อให้แน่ใจว่าทุกลิงค์ / เส้นทางในแอปของคุณใช้ https: // แทน http: //

ฉันใช้ใน Laravel 5.6.28 มิดเดิลแวร์ถัดไป:

namespace App\Http\Middleware;

use App\Models\Unit;
use Closure;
use Illuminate\Http\Request;

class HttpsProtocol
{
    public function handle($request, Closure $next)
    {
        $request->setTrustedProxies([$request->getClientIp()], Request::HEADER_X_FORWARDED_ALL);

        if (!$request->secure() && env('APP_ENV') === 'prod') {
            return redirect()->secure($request->getRequestUri());
        }

        return $next($request);
    }
}

แนวทางที่แตกต่างกันเล็กน้อยทดสอบใน Laravel 5.7

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Support\Str;

class ForceHttps
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {    
        if ( !$request->secure() && Str::startsWith(config('app.url'), 'https://') ) {
            return redirect()->secure($request->getRequestUri());
        }
        return $next($request);
    }
}

PS อัปเดตโค้ดตามความคิดเห็นของ @ matthias-lill

สำหรับ Laravel 5.6 ฉันต้องเปลี่ยนเงื่อนไขเล็กน้อยเพื่อให้มันใช้งานได้

จาก:

if (!$request->secure() && env('APP_ENV') === 'prod') {
return redirect()->secure($request->getRequestUri());
}

ถึง:

if (empty($_SERVER['HTTPS']) && env('APP_ENV') === 'prod') {
return redirect()->secure($request->getRequestUri());
}

สิ่งนี้ได้ผลสำหรับฉัน ฉันสร้างรหัส php ที่กำหนดเองเพื่อบังคับให้เปลี่ยนเส้นทางไปที่ https เพียงใส่รหัสนี้บน header.php

<?php
if (isset($_SERVER['HTTPS']) &&
    ($_SERVER['HTTPS'] == 'on' || $_SERVER['HTTPS'] == 1) ||
    isset($_SERVER['HTTP_X_FORWARDED_PROTO']) &&
    $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
  $protocol = 'https://';
}
else {
  $protocol = 'http://';
}
$notssl = 'http://';
if($protocol==$notssl){
    $url = "https://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";?>
    <script> 
    window.location.href ='<?php echo $url?>';
    </script> 
 <?php } ?>

วิธีที่ง่ายที่สุดคือในระดับแอปพลิเคชัน ในไฟล์

app/Providers/AppServiceProvider.php

เพิ่มสิ่งต่อไปนี้:

use Illuminate\Support\Facades\URL;

และใน boot () วิธีการเพิ่มสิ่งต่อไปนี้:

$this->app['request']->server->set('HTTPS', true);
URL::forceScheme('https');

สิ่งนี้ควรเปลี่ยนเส้นทางคำขอทั้งหมดไปที่ https ที่ระดับแอปพลิเคชัน

(หมายเหตุ: ได้รับการทดสอบด้วย laravel 5.5 LTS)

คุณสามารถไปที่แอพ -> ผู้ให้บริการ -> AppServiceProvider.php

เพิ่มสองบรรทัด

ใช้ Illuminate \ Support \ Facades \ URL;

URL :: forceScheme ( 'https');

ตามที่แสดงในรหัสต่อไปนี้:

use Illuminate\Support\Facades\URL;

class AppServiceProvider extends ServiceProvider
{
   public function boot()
    {
        URL::forceScheme('https');

       // any other codes here, does not matter.
    }

งานนี้สำหรับฉันในLaravel 7.xใน3 ขั้นตอนง่ายๆโดยใช้มิดเดิลแวร์:

1) สร้างมิดเดิลแวร์ด้วยคำสั่ง php artisan make:middleware ForceSSL

มิดเดิ้ล

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Support\Facades\App;

class ForceSSL
{
    public function handle($request, Closure $next)
    {
        if (!$request->secure() && App::environment() === 'production') {
            return redirect()->secure($request->getRequestUri());
        }

        return $next($request);
    }
}

2) ลงทะเบียนมิดเดิลแวร์ในrouteMiddlewareไฟล์ Kernel

เมล็ด

protected $routeMiddleware = [
    //...
    'ssl' => \App\Http\Middleware\ForceSSL::class,
];

3) ใช้ในเส้นทางของคุณ

เส้นทาง

Route::middleware('ssl')->group(function() {
    // All your routes here

});

นี่คือเอกสารฉบับเต็มเกี่ยวกับมิดเดิลแวร์

========================

.HTACCESS วิธี

หากคุณต้องการใช้.htaccessไฟล์คุณสามารถใช้รหัสต่อไปนี้:

<IfModule mod_rewrite.c>
    RewriteEngine On 
    RewriteCond %{SERVER_PORT} 80 
    RewriteRule ^(.*)$ https://yourdomain.com/$1 [R,L]
</IfModule>

ความนับถือ!