首先在Web服务器层配置SSL证书,再通过TrustProxies中间件和APP_URL设置确保Laravel正确处理HTTPS,最后使用ForceHttps中间件强制重定向并生成安全链接。
在Laravel应用中配置HTTPS/SSL,核心在于确保所有请求通过加密连接访问。这通常涉及服务器层的证书部署和框架层的安全设置协同工作,而不是直接在Laravel内部完成整个SSL流程。
1. 服务器层配置SSL证书
Laravel本身不处理SSL加密,需依赖Web服务器(如Nginx或Apache)实现。以下是常见配置方式:
- Nginx 配置示例:在站点配置中指定证书文件路径,并监听443端口。
server {
listen 443 ssl;
server_name yourdomain.com;
ssl_certificate /path/to/your/certificate.crt;
ssl_certificate_key /path/to/your/private.key;
root /var/www/your-laravel-project/public;
index index.php;
location / {
try_files $uri $uri/ /index.php?$query_string;
}
location ~ \.php$ {
fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
- Apache 配置示例:启用SSL模块并配置虚拟主机。
<VirtualHost *:443>
ServerName yourdomain.com
DocumentRoot /var/www/your-laravel-project/public
SSLEngine on
SSLCertificateFile "/path/to/your/certificate.crt"
SSLCertificateKeyFile "/path/to/your/private.key"
<Directory "/var/www/your-laravel-project/public">
AllowOverride All
Require all granted
</Directory>
</VirtualHost>
2. 强制Laravel使用HTTPS
当SSL证书已正确加载后,可通过中间件或环境变量强制应用生成安全链接。
- 使用TrustProxies中间件:确保Laravel能识别通过反向代理传来的HTTPS请求。
app/Http/Middleware/TrustProxies.php
protected $proxies = '*';
protected $headers = Request::HEADER_X_FORWARDED_ALL;
.env文件中更新应用URL协议。APP_URL=https://yourdomain.com
例如,在app/Http/Middleware/ForceHttps.php中:
public function handle($request, $next)
{
if (!$request->secure() && app()->environment('production')) {
return redirect()->secure($request->getRequestUri());
}
return $next($request);
}
注册该中间件后,可将其应用于路由组。
3. 生成安全的URL和资源链接
Laravel的url()、asset()等辅助函数会根据当前请求协议自动判断是否使用HTTPS。若部署在负载均衡或CDN后,需确保X-Forwarded-Proto头被正确传递。
- 使用
secure_asset()强制资源走HTTPS。 - 在Blade模板中推荐使用
{{ asset() }}而非硬编码路径。
基本上就这些。关键是服务器先配好证书,再让Laravel信任代理头并统一使用HTTPS输出链接。不复杂但容易忽略细节,比如没开启X-Forwarded-Proto支持会导致重定向循环。
