Laravel 12 安全性:从认证到授权的全方位防护
摘要
本文深入分析 Laravel 12 的安全体系架构,涵盖认证系统的核心改进、授权策略的细粒度优化、CSRF 防护的机制增强、XSS 防护的多层次实现等关键安全领域。结合 OWASP Top 10 安全风险评估框架,提供基于实际生产环境的安全加固方案,包括威胁建模、安全审计、渗透测试等专业实践。通过深入源码分析和架构设计,帮助开发者构建符合企业级安全标准的 Laravel 应用,确保系统在面对现代网络威胁时具备足够的抵御能力。
1. Laravel 安全体系概述
Laravel 12 构建了一个多层次、深度集成的安全防护体系,基于”安全默认”设计理念,通过核心组件的紧密协作,为应用提供全面的安全保障。
1.1 安全架构设计
Laravel 12 的安全架构采用分层设计,从底层到应用层形成完整的安全防护链:
- 基础设施层:加密模块、哈希算法、随机数生成器
- 核心安全层:认证系统、授权系统、会话管理
- 应用安全层:输入验证、输出编码、CSRF/XSS 防护
- 网络安全层:HTTPS 强制、安全头部、CORS 配置
- 运维安全层:依赖管理、日志记录、监控告警
1.2 核心安全特性详解
认证系统
- Fortify:提供无视图的认证后端,支持邮箱验证、密码重置、两因素认证
- Jetstream:基于 Fortify 构建的完整认证脚手架,包含 Livewire 和 Inertia 两种实现
- Sanctum:轻量级 API 认证系统,支持令牌认证和 SPA 认证
- Passport:完整的 OAuth2 服务器实现,适用于复杂的 API 认证场景
授权系统
- 策略(Policies):模型级别的细粒度权限控制
- 门控(Gates):非模型级别的权限控制
- 角色与权限:通过 Spatie Permission 包实现完整的 RBAC 系统
输入验证与数据清洗
- 验证器:强大的规则引擎,支持自定义规则和条件验证
- 表单请求:集中式的验证逻辑,支持授权检查
- 数据清洗:内置的 HTML 编码和第三方 HTMLPurifier 集成
跨站攻击防护
- CSRF 防护:自动令牌生成和验证,支持自定义令牌存储
- XSS 防护:Blade 模板自动编码,内容安全策略(CSP)支持
- 点击劫持防护:X-Frame-Options 头部设置
数据安全
- 密码哈希:支持 bcrypt 和 Argon2 算法,可配置内存和时间成本
- 数据加密:AES-256-CBC 加密,支持加密字符串和文件
- 会话安全:加密会话数据,支持多种存储后端
网络安全
- HTTPS 强制:自动重定向和 HSTS 支持
- 安全头部:X-Content-Type-Options、X-XSS-Protection 等
- CORS 配置:灵活的跨域资源共享设置
速率限制
- 基于内存:适用于单服务器部署
- 基于 Redis:适用于分布式部署
- 自定义键:支持基于用户、IP、路由的限制策略
1.3 OWASP Top 10 防护矩阵
| 风险 | 严重程度 | Laravel 防护措施 | 实现细节 |
|---|
| 注入 | 高 | ORM 和参数绑定 | Eloquent 使用 PDO 参数绑定,查询构建器自动转义 |
| 失效的身份认证 | 高 | 安全的认证系统 | 密码哈希、会话管理、两因素认证 |
| 敏感数据暴露 | 高 | 加密和哈希 | 密码使用 Argon2id,敏感数据使用加密助手 |
| XML 外部实体 | 中 | 输入验证 | 禁用 XML 实体,使用安全的 XML 解析器 |
| 访问控制失效 | 高 | 授权系统 | 策略和门控的细粒度权限控制 |
| 安全配置错误 | 中 | 环境配置 | .env 文件分离,配置缓存,生产环境默认安全设置 |
| 跨站脚本 | 高 | 输出编码 | Blade 自动编码,CSP 头部,HTMLPurifier 集成 |
| 不安全的反序列化 | 中 | 类型声明 | 强类型约束,避免不安全的序列化/反序列化 |
| 使用含有已知漏洞的组件 | 中 | 依赖管理 | Composer 依赖检查,安全更新提醒 |
| 日志记录和监控不足 | 低 | 日志系统 | 结构化日志,监控集成,异常跟踪 |
1.4 安全性能优化
Laravel 12 在安全特性的实现中注重性能优化:
- 认证缓存:支持认证结果缓存,减少数据库查询
- 授权缓存:策略和门控结果缓存,提高权限检查速度
- CSRF 令牌优化:高效的令牌生成和验证机制
- 验证器缓存:复杂验证规则的缓存
- 加密性能:优化的加密算法实现,平衡安全性和性能
通过以上架构设计和特性实现,Laravel 12 为应用提供了全方位的安全保障,同时保持了框架的灵活性和易用性。
2. 认证系统的改进
Laravel 12 对认证系统进行了深度优化,通过架构调整和新特性引入,提供了更安全、更灵活、更高性能的认证解决方案。
2.1 Fortify 认证系统增强
架构设计与核心组件
Fortify 采用模块化设计,由以下核心组件组成:
- Actions:处理认证逻辑的可定制类
- Contracts:定义认证行为的接口
- Listeners:响应认证事件的监听器
- Routes:预定义的认证路由
高级配置与定制
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
|
return [
'guard' => 'web',
'passwords' => 'users',
'username' => 'email',
'email' => 'email',
'views' => false,
'home' => RouteServiceProvider::HOME,
'prefix' => '',
'domain' => null,
'middleware' => ['web'],
'limiters' => [
'login' => 'login',
'two-factor' => 'two-factor',
],
'features' => [
Features::registration(),
Features::resetPasswords([
'createNewTokenCallback' => function ($user, $token) {
return $token;
},
]),
Features::emailVerification([
'verifyEmailCallback' => function ($user) {
event(new EmailVerified($user));
},
]),
Features::updateProfileInformation(),
Features::updatePasswords(),
Features::twoFactorAuthentication([
'confirmPassword' => true,
'window' => 0,
'provider' => 'totp', // 支持 totp 和 webauthn
]),
],
];
|
自定义认证逻辑
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
namespace App\Actions\Fortify;
use Laravel\Fortify\Actions\AttemptToAuthenticate as FortifyAttemptToAuthenticate;
use Illuminate\Auth\AuthenticationException;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
class AttemptToAuthenticate extends FortifyAttemptToAuthenticate
{
protected function attemptAuthentication(Request $request)
{
$user = $this->validateCredentials($request);
if (!$user->isActive()) {
throw new AuthenticationException('Account is inactive');
}
if (!$this->isLoginAllowed($user)) {
throw new AuthenticationException('Login not allowed at this time');
}
if (!Auth::attempt($this->credentials($request), $request->boolean('remember'))) {
$this->throwFailedAuthenticationException($request);
}
}
protected function isLoginAllowed($user)
{
$currentHour = now()->hour;
return $currentHour >= 8 && $currentHour <= 22;
}
}
public function boot()
{
Fortify::authenticateUsing([$this, 'authenticate']);
Fortify::createUsersUsing(CreateNewUser::class);
Fortify::updateUserProfileInformationUsing(UpdateUserProfileInformation::class);
Fortify::updateUserPasswordsUsing(UpdateUserPassword::class);
Fortify::resetUserPasswordsUsing(ResetUserPassword::class);
}
|
2.2 Jetstream 认证脚手架增强
架构设计与组件
Jetstream 基于 Fortify 构建,提供了完整的认证前端和后端解决方案,包含以下核心组件:
- Livewire 栈:基于 Laravel Livewire 的服务器端渲染方案
- Inertia 栈:基于 Inertia.js 的单页应用方案
- 团队管理:支持多用户团队和权限管理
- API 支持:集成 Sanctum 提供 API 认证
高级安装与配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
composer require laravel/jetstream
php artisan jetstream:install livewire --teams --api
php artisan jetstream:install inertia --teams --api
php artisan migrate
npm install && npm run build
|
团队管理高级配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
|
namespace App\Actions\Jetstream;
use Laravel\Jetstream\Contracts\CreatesTeams;
use Laravel\Jetstream\Jetstream;
use Laravel\Jetstream\Team;
class CreateTeam implements CreatesTeams
{
public function create($user, array $input)
{
$team = Jetstream::teamModel()::create([
'user_id' => $user->id,
'name' => $input['name'],
'personal_team' => $input['personal_team'] ?? false,
'slack_webhook_url' => $input['slack_webhook_url'] ?? null,
]);
$team->users()->attach($user, ['role' => 'owner']);
$this->initializeTeam($team, $user);
return $team;
}
protected function initializeTeam(Team $team, $user)
{
$team->settings()->create([
'notification_enabled' => true,
'timezone' => $user->timezone ?? 'UTC',
]);
}
}
|
安全增强配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
return [
'stack' => 'livewire',
'middleware' => ['web'],
'features' => [
'profile.photo',
'api',
'teams',
'account.deletion',
],
'profile_photo_disk' => 'public',
'api' => [
'middleware' => ['api'],
'prefix' => 'api',
],
'teams' => [
'model' => App\Models\Team::class,
'key' => null,
'owner_role' => 'owner',
'member_role' => 'member',
'permissions' => [
'create',
'read',
'update',
'delete',
],
],
];
|
2.3 多因素认证(MFA)增强
Laravel 12 大幅增强了多因素认证功能,支持多种认证方式和高级配置选项。
支持的 MFA 方式
- TOTP:基于时间的一次性密码,兼容 Google Authenticator 等应用
- WebAuthn:支持安全密钥(如 YubiKey)和设备生物识别
- SMS:基于短信的验证码(需自定义实现)
- Email:基于邮箱的验证码(需自定义实现)
高级 MFA 配置
1
2
3
4
5
6
7
8
9
10
11
|
'features' => [
Features::twoFactorAuthentication([
'confirmPassword' => true, // 启用密码确认
'window' => 0, // 时间窗口(秒),0 表示严格时间匹配
'provider' => 'totp', // 默认认证方式
'rememberSession' => true, // 记住会话,减少重复验证
'sessionDuration' => 1440, // 记住会话时长(分钟)
]),
],
|
WebAuthn 配置与实现
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
|
composer require web-auth/webauthn-lib
return [
'relying_party' => [
'name' => config('app.name'),
'id' => parse_url(config('app.url'), PHP_URL_HOST),
'icon' => config('app.url') . '/favicon.ico',
],
'timeout' => 60000,
'extensions' => [],
];
namespace App\Actions\Fortify;
use Laravel\Fortify\Actions\EnableTwoFactorAuthentication as FortifyEnableTwoFactorAuthentication;
class EnableTwoFactorAuthentication extends FortifyEnableTwoFactorAuthentication
{
public function handle($user)
{
$recoveryCodes = $this->generateRecoveryCodes();
$user->two_factor_recovery_codes = json_encode($recoveryCodes);
$user->two_factor_secret = encrypt($this->generateSecretKey());
$user->two_factor_confirmed_at = now();
$user->save();
event(new TwoFactorAuthenticationEnabled($user));
return $recoveryCodes;
}
}
|
MFA 恢复与管理
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
Route::post('/two-factor-recovery', function (Request $request) {
$request->validate([
'recovery_code' => 'required',
]);
$user = Auth::user();
$recoveryCodes = json_decode($user->two_factor_recovery_codes, true);
if (empty($recoveryCodes)) {
return back()->withErrors(['recovery_code' => 'No recovery codes available.']);
}
$validCode = collect($recoveryCodes)->search(function ($code) use ($request) {
return hash_equals($code, $request->recovery_code);
});
if (is_numeric($validCode)) {
unset($recoveryCodes[$validCode]);
$user->two_factor_recovery_codes = json_encode(array_values($recoveryCodes));
$user->save();
Auth::login($user, $request->remember);
return redirect()->intended(RouteServiceProvider::HOME);
}
return back()->withErrors(['recovery_code' => 'Invalid recovery code.']);
})->middleware(['auth'])->name('two-factor-recovery');
|
MFA 安全最佳实践
- 强制 MFA:为管理员和敏感操作启用强制 MFA
- 多渠道 MFA:支持多种 MFA 方式,提高可用性
- 恢复机制:实现可靠的 MFA 恢复流程,避免用户被锁定
- 会话管理:合理配置 MFA 会话时长,平衡安全性和用户体验
- 监控告警:监控 MFA 失败尝试,及时发现可疑活动
- 定期提醒:提醒用户更新 MFA 设备和恢复码
- 安全教育:向用户提供 MFA 使用指南和安全最佳实践
2.4 会话管理增强
Laravel 12 对会话管理进行了深度优化,通过架构调整和新特性引入,提供了更安全、更可靠、更高性能的会话处理机制。
会话存储驱动
Laravel 12 支持多种会话存储驱动,每种驱动都有其适用场景:
| 驱动 | 适用场景 | 优势 | 劣势 |
|---|
| file | 开发环境、小型应用 | 配置简单,无需额外服务 | 性能较低,不适合分布式部署 |
| cookie | 轻量级应用 | 无服务器存储,易于扩展 | 存储容量有限,仅适合小型数据 |
| database | 中大型应用 | 持久化存储,支持复杂查询 | 性能适中,需要数据库连接 |
| redis | 大型应用、高并发场景 | 高性能,支持分布式部署 | 需要 Redis 服务 |
| memcached | 大型应用、高并发场景 | 高性能,内存存储 | 需要 Memcached 服务,无持久化 |
高级会话配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
return [
'driver' => env('SESSION_DRIVER', 'redis'),
'lifetime' => env('SESSION_LIFETIME', 120),
'expire_on_close' => false,
'encrypt' => true,
'files' => storage_path('framework/sessions'),
'connection' => env('SESSION_CONNECTION', null),
'table' => 'sessions',
'store' => env('SESSION_STORE', null),
'lottery' => [2, 100],
'cookie' => env('SESSION_COOKIE', Str::slug(env('APP_NAME', 'laravel'), '_').'_session'),
'path' => '/',
'domain' => env('SESSION_DOMAIN', null),
'secure' => env('SESSION_SECURE_COOKIE'),
'http_only' => true,
'same_site' => 'strict',
'partitioned' => false,
'throttle' => [
'enabled' => true,
'max_attempts' => 100,
'decay_minutes' => 1,
],
];
|
会话安全增强
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
|
namespace App\Http\Middleware;
use Closure;
use Illuminate\Session\Middleware\StartSession as BaseStartSession;
class StartSession extends BaseStartSession
{
public function startSession(Request $request)
{
$this->validateSessionEnvironment($request);
return parent::startSession($request);
}
protected function validateSessionEnvironment(Request $request)
{
if ($request->header('User-Agent') && $this->session->has('user_agent')) {
if ($request->header('User-Agent') !== $this->session->get('user_agent')) {
$this->session->invalidate();
throw new \Exception('Session environment changed');
}
} else {
$this->session->put('user_agent', $request->header('User-Agent'));
}
if (config('session.check_ip', false)) {
if ($request->ip() && $this->session->has('ip_address')) {
if ($request->ip() !== $this->session->get('ip_address')) {
$this->session->invalidate();
throw new \Exception('Session IP changed');
}
} else {
$this->session->put('ip_address', $request->ip());
}
}
}
}
protected $middlewareGroups = [
'web' => [
\App\Http\Middleware\StartSession::class,
],
];
|
会话管理最佳实践
- 使用 Redis 作为会话存储:对于生产环境,推荐使用 Redis 提高性能和可靠性
- 启用会话加密:保护会话数据不被窃取和篡改
- 设置安全的 cookie 属性:
secure:在 HTTPS 环境下启用http_only:防止 JavaScript 访问same_site:设置为 strict 或 lax 防止 CSRF 攻击
- 合理配置会话生命周期:根据应用需求设置适当的会话过期时间
- 实现会话环境验证:检查用户代理、IP 地址等环境信息
- 定期清理过期会话:使用
php artisan session:table 创建会话表并定期清理 - 会话失效处理:实现优雅的会话过期和失效处理机制
- 监控会话异常:监控会话劫持、会话固定等异常情况
会话性能优化
- 减少会话数据:只存储必要的数据,避免在会话中存储大量信息
- 使用缓存标签:对于 Redis 存储,使用标签管理会话数据
- 会话压缩:对于大型会话数据,考虑使用压缩算法
- 批量更新:减少会话写入频率,使用批量更新
- 连接池管理:对于数据库和 Redis 存储,使用连接池提高性能
3. 授权系统的深度优化
Laravel 12 对授权系统进行了架构级别的优化,通过引入新特性和改进现有机制,提供了更灵活、更细粒度、更高性能的权限控制方案。
3.1 策略(Policies)深度优化
策略是 Laravel 授权系统的核心组件,用于处理模型级别的权限控制。Laravel 12 对策略系统进行了深度优化,提供了更灵活的授权机制。
策略架构设计
策略系统的核心架构包括:
- 策略类:包含授权逻辑的类
- 策略解析器:负责将模型映射到策略
- 授权门面:提供便捷的授权方法
- 中间件:用于路由级别的授权检查
高级策略生成与配置
1
2
3
4
5
6
7
8
|
php artisan make:policy PostPolicy --model=Post
php artisan make:policy DashboardPolicy
php artisan make:policy UserPolicy --model=User --all
|
高级策略实现
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
| <?php
namespace App\Policies;
use App\Models\Post;
use App\Models\User;
use Illuminate\Auth\Access\HandlesAuthorization;
use Illuminate\Auth\Access\AuthorizationException;
use Illuminate\Auth\Access\Response;
class PostPolicy
{
use HandlesAuthorization;
public function viewAny(User $user): Response
{
if ($user->hasPermissionTo('view-posts')) {
return Response::allow();
}
return Response::deny('您没有查看帖子的权限');
}
public function view(User $user, Post $post): Response
{
if ($user->id === $post->user_id) {
return Response::allow();
}
if ($post->published && $user->hasPermissionTo('view-published-posts')) {
return Response::allow();
}
return Response::deny('您没有查看此帖子的权限');
}
public function create(User $user): Response
{
if ($user->hasPermissionTo('create-posts')) {
return Response::allow();
}
return Response::deny('您没有创建帖子的权限');
}
public function update(User $user, Post $post): Response
{
if ($user->id === $post->user_id) {
return Response::allow();
}
if ($user->hasPermissionTo('update-any-post')) {
return Response::allow();
}
return Response::deny('您没有更新此帖子的权限');
}
public function delete(User $user, Post $post): Response
{
if ($user->id === $post->user_id) {
return Response::allow();
}
if ($user->hasPermissionTo('delete-any-post')) {
return Response::allow();
}
return Response::deny('您没有删除此帖子的权限');
}
public function restore(User $user, Post $post): Response
{
if ($user->hasPermissionTo('restore-posts')) {
return Response::allow();
}
return Response::deny('您没有恢复帖子的权限');
}
public function forceDelete(User $user, Post $post): Response
{
if ($user->hasPermissionTo('force-delete-posts')) {
return Response::allow();
}
return Response::deny('您没有强制删除帖子的权限');
}
public function batch(User $user): Response
{
if ($user->hasPermissionTo('batch-posts')) {
return Response::allow();
}
return Response::deny('您没有批量操作帖子的权限');
}
public function publish(User $user, Post $post): Response
{
if ($user->id === $post->user_id && $user->hasPermissionTo('publish-own-posts')) {
return Response::allow();
}
if ($user->hasPermissionTo('publish-any-posts')) {
return Response::allow();
}
return Response::deny('您没有发布帖子的权限');
}
}
|
策略的高级特性
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
Route::get('/posts/{post}', [PostController::class, 'show'])->middleware('can:view,post');
use Illuminate\Support\Facades\Gate;
public function boot()
{
$this->registerPolicies();
Gate::guessPolicyNamesUsing(function ($modelClass) {
return 'App\\Policies\\' . class_basename($modelClass) . 'Policy';
});
}
class PostPolicy
{
public function before(User $user, $ability)
{
if ($user->hasRole('super-admin')) {
return true;
}
}
}
|
策略的注册与自动发现
Laravel 12 支持策略的自动发现,通过命名约定自动关联模型和策略,同时提供了灵活的手动注册机制。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
class AuthServiceProvider extends ServiceProvider
{
protected $policies = [
];
public function boot()
{
$this->registerPolicies();
Gate::guessPolicyNamesUsing(function ($modelClass) {
return 'App\\Policies\\' . class_basename($modelClass) . 'Policy';
});
Gate::macro('resolvePolicy', function ($model) {
return $this->policyFor($model);
});
}
}
|
策略的缓存优化
对于大型应用,策略检查可能会成为性能瓶颈。Laravel 12 提供了策略缓存机制,显著提高授权检查性能。
1
2
3
4
5
6
7
8
|
'cache' => [
'enabled' => env('AUTH_CACHE_ENABLED', true),
'store' => env('AUTH_CACHE_STORE', 'redis'),
'prefix' => env('AUTH_CACHE_PREFIX', 'auth_'),
'ttl' => env('AUTH_CACHE_TTL', 3600),
],
|
策略的性能优化
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
$posts = Post::all();
$authorizedPosts = $posts->filter(function ($post) use ($user) {
return $user->can('view', $post);
});
$posts = Post::with('user')->get();
$authorizedPosts = $posts->filter(function ($post) use ($user) {
return $user->can('view', $post);
});
class Post extends Model
{
public function scopeViewable($query, $user)
{
return $query->where(function ($q) use ($user) {
$q->where('user_id', $user->id)
->orWhere(function ($q) use ($user) {
$q->where('published', true)
->whereHas('user', function ($q) use ($user) {
// 额外的权限检查
});
});
});
}
}
$viewablePosts = Post::viewable($user)->get();
|
策略的测试
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
class PostPolicyTest extends TestCase
{
use RefreshDatabase;
public function test_post_author_can_view_their_post()
{
$user = User::factory()->create();
$post = Post::factory()->create(['user_id' => $user->id]);
$this->assertTrue((new PostPolicy)->view($user, $post)->allowed());
}
public function test_user_can_view_published_post()
{
$user = User::factory()->create();
$user->givePermissionTo('view-published-posts');
$post = Post::factory()->create(['published' => true]);
$this->assertTrue((new PostPolicy)->view($user, $post)->allowed());
}
public function test_user_cannot_view_unpublished_post_of_other_user()
{
$user = User::factory()->create();
$otherUser = User::factory()->create();
$post = Post::factory()->create(['user_id' => $otherUser->id, 'published' => false]);
$this->assertFalse((new PostPolicy)->view($user, $post)->allowed());
}
public function test_admin_can_update_any_post()
{
$admin = User::factory()->create();
$admin->givePermissionTo('update-any-post');
$otherUser = User::factory()->create();
$post = Post::factory()->create(['user_id' => $otherUser->id]);
$this->assertTrue((new PostPolicy)->update($admin, $post)->allowed());
}
}
|
策略的高级用法
控制器中的高级策略使用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
|
class PostController extends Controller
{
public function index()
{
$this->authorize('viewAny', Post::class);
$posts = Post::viewable(auth()->user())->paginate(10);
return view('posts.index', compact('posts'));
}
public function show(Post $post)
{
$this->authorize('view', $post);
return view('posts.show', compact('post'));
}
public function create()
{
$this->authorize('create', Post::class);
return view('posts.create');
}
public function store(Request $request)
{
$this->authorize('create', Post::class);
$validated = $request->validate([
'title' => 'required|string|max:255',
'content' => 'required|string',
'published' => 'boolean',
]);
$post = Post::create(array_merge($validated, [
'user_id' => auth()->id(),
]));
return redirect()->route('posts.show', $post);
}
public function edit(Post $post)
{
$this->authorize('update', $post);
return view('posts.edit', compact('post'));
}
public function update(Request $request, Post $post)
{
$this->authorize('update', $post);
$validated = $request->validate([
'title' => 'required|string|max:255',
'content' => 'required|string',
'published' => 'boolean',
]);
$post->update($validated);
return redirect()->route('posts.show', $post);
}
public function destroy(Post $post)
{
$this->authorize('delete', $post);
$post->delete();
return redirect()->route('posts.index');
}
public function publish(Post $post)
{
$this->authorize('publish', $post);
$post->update(['published' => true]);
return redirect()->route('posts.show', $post);
}
}
|
Blade 模板中的高级策略使用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
|
@can('viewAny', App\Models\Post::class)
<a href="{{ route('posts.index') }}">帖子列表</a>
@endcan
@can('create', App\Models\Post::class)
<a href="{{ route('posts.create') }}">创建帖子</a>
@endcan
@foreach($posts as $post)
<div class="post">
@can('view', $post)
<h2><a href="{{ route('posts.show', $post) }}">{{ $post->title }}</a></h2>
<p>{{ Str::limit($post->content, 100) }}</p>
@endcan
<div class="actions">
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">编辑</a>
@endcan
@can('publish', $post)
@if(!$post->published)
<a href="{{ route('posts.publish', $post) }}">发布</a>
@endif
@endcan
@can('delete', $post)
<form action="{{ route('posts.destroy', $post) }}" method="POST" style="display: inline;">
@csrf
@method('DELETE')
<button type="submit" onclick="return confirm('确定要删除吗?');">删除</button>
</form>
@endcan
</div>
</div>
@endforeach
// 使用 @cannot 指令
@cannot('viewAny', App\Models\Post::class)
<p>您没有查看帖子的权限</p>
@endcannot
// 使用 @canany 指令
@canany(['update', 'delete'], $post)
<div class="actions">
<!-- 操作按钮 -->
</div>
@endcanany
|
路由中的高级策略使用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
Route::middleware(['can:view,post'])->get('/posts/{post}', [PostController::class, 'show']);
Route::resource('posts', PostController::class)->middleware('auth');
Route::resource('posts', PostController::class)->only([
'index', 'show'
])->middleware('can:viewAny,App\Models\Post');
Route::resource('posts', PostController::class)->only([
'create', 'store'
])->middleware('can:create,App\Models\Post');
Route::resource('posts', PostController::class)->only([
'edit', 'update'
])->middleware('can:update,post');
Route::resource('posts', PostController::class)->only([
'destroy'
])->middleware('can:delete,post');
Route::get('/posts/{post}/publish', [PostController::class, 'publish'])
->middleware('can:publish,post');
|
表单请求中的策略使用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
class StorePostRequest extends FormRequest
{
public function authorize()
{
return $this->user()->can('create', Post::class);
}
public function rules()
{
return [
'title' => 'required|string|max:255',
'content' => 'required|string',
'published' => 'boolean',
];
}
}
public function store(StorePostRequest $request)
{
$post = Post::create(array_merge($request->validated(), [
'user_id' => auth()->id(),
]));
return redirect()->route('posts.show', $post);
}
|
策略的最佳实践
设计原则
- 遵循 RESTful 命名约定:使用
viewAny, view, create, update, delete, restore, forceDelete 等标准方法名 - 单一职责:每个策略只负责一个模型的授权逻辑
- 明确的授权规则:为每个操作提供清晰、明确的授权规则
- 最小权限原则:只授予用户完成任务所需的最小权限
- 可测试性:设计易于测试的授权逻辑
实现技巧
- 使用 trait:使用
HandlesAuthorization trait 提供标准的授权方法 - 返回 Response 对象:使用
Response::allow() 和 Response::deny() 提供更详细的授权信息 - 使用策略过滤器:通过
before 方法处理通用授权逻辑,如超级管理员权限 - 结合角色系统:与 Spatie Permission 等角色管理包结合使用,实现更复杂的权限管理
- 缓存策略结果:对于大型应用,启用策略缓存提高性能
- 日志授权失败:记录授权失败的情况,便于安全审计
- 使用查询作用域:结合查询作用域,减少授权检查的性能开销
- 自定义策略发现:对于复杂的目录结构,使用自定义策略发现逻辑
代码组织
- 按模型组织:为每个模型创建对应的策略类
- 使用命名空间:合理使用命名空间,保持代码结构清晰
- 文档化策略:为策略添加注释,说明授权规则的设计意图
- 版本控制:将策略文件纳入版本控制,跟踪权限变更
安全考虑
- 避免硬编码权限:使用权限常量或配置文件管理权限名称
- 防止权限提升:在授权逻辑中检查用户权限,防止权限提升攻击
- 定期审计:定期审计策略代码,确保授权规则符合安全要求
- 敏感操作保护:为敏感操作(如删除、修改)添加额外的授权检查
性能优化
- 启用缓存:启用策略缓存,减少授权检查的性能开销
- 预加载关系:在批量授权检查时,预加载相关模型,减少数据库查询
- 使用查询作用域:通过数据库查询过滤,减少内存中的授权检查
- 批量授权:使用批量授权方法,减少重复的授权检查
测试策略
- 单元测试:为每个策略方法编写单元测试,确保授权逻辑正确
- 集成测试:测试策略在实际场景中的使用,如控制器、Blade 模板
- 边界测试:测试边界情况,如超级管理员权限、未登录用户等
- 权限组合测试:测试不同权限组合的授权结果
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
class PostPolicyTest extends TestCase
{
use RefreshDatabase;
protected $user;
protected $admin;
protected $post;
protected $otherPost;
protected function setUp(): void
{
parent::setUp();
$this->user = User::factory()->create();
$this->admin = User::factory()->create();
$this->admin->givePermissionTo('update-any-post', 'delete-any-post', 'publish-any-posts');
$this->post = Post::factory()->create(['user_id' => $this->user->id]);
$this->otherPost = Post::factory()->create();
}
public function test_post_author_can_view_their_post()
{
$this->assertTrue((new PostPolicy)->view($this->user, $this->post)->allowed());
}
public function test_user_can_view_published_post()
{
$this->user->givePermissionTo('view-published-posts');
$publishedPost = Post::factory()->create(['published' => true]);
$this->assertTrue((new PostPolicy)->view($this->user, $publishedPost)->allowed());
}
public function test_user_cannot_view_unpublished_post_of_other_user()
{
$this->assertFalse((new PostPolicy)->view($this->user, $this->otherPost)->allowed());
}
public function test_admin_can_update_any_post()
{
$this->assertTrue((new PostPolicy)->update($this->admin, $this->otherPost)->allowed());
}
public function test_user_can_only_update_their_own_post()
{
$this->assertTrue((new PostPolicy)->update($this->user, $this->post)->allowed());
$this->assertFalse((new PostPolicy)->update($this->user, $this->otherPost)->allowed());
}
public function test_admin_can_publish_any_post()
{
$this->assertTrue((new PostPolicy)->publish($this->admin, $this->otherPost)->allowed());
}
}
|
策略的测试
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
|
class PostPolicyTest extends TestCase
{
use RefreshDatabase;
public function test_post_author_can_view_their_post()
{
$user = User::factory()->create();
$post = Post::factory()->create(['user_id' => $user->id]);
$this->assertTrue((new PostPolicy)->view($user, $post));
}
public function test_user_can_view_published_post()
{
$user = User::factory()->create();
$post = Post::factory()->create(['published' => true]);
$this->assertTrue((new PostPolicy)->view($user, $post));
}
public function test_user_cannot_view_unpublished_post_of_other_user()
{
$user = User::factory()->create();
$otherUser = User::factory()->create();
$post = Post::factory()->create(['user_id' => $otherUser->id, 'published' => false]);
$this->assertFalse((new PostPolicy)->view($user, $post));
}
public function test_admin_can_update_any_post()
{
$otherUser = User::factory()->create();
$post = Post::factory()->create(['user_id' => $otherUser->id]);
$this->assertTrue((new PostPolicy)->update($this->admin, $post));
}
}
|
3.2 门控(Gates)深度优化
门控是 Laravel 授权系统的另一个核心组件,用于处理非模型级别的权限控制,提供了更灵活的授权机制。
门控架构设计
门控系统由以下核心组件组成:
- 门控定义:通过
Gate::define() 定义授权规则 - 门控解析:解析门控名称和参数
- 门控执行:执行授权逻辑并返回结果
- 门控缓存:缓存门控执行结果,提高性能
高级门控定义
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
|
use Illuminate\Support\Facades\Gate;
use Illuminate\Auth\Access\Response;
public function boot()
{
$this->registerPolicies();
Gate::define('admin-access', function (User $user) {
return $user->hasRole('admin')
? Response::allow()
: Response::deny('您没有管理员权限');
});
Gate::define('manage-user', function (User $user, User $targetUser) {
if ($user->hasRole('admin')) {
return Response::allow();
}
if ($user->id === $targetUser->id) {
return Response::allow('您可以管理自己的账户');
}
return Response::deny('您只能管理自己的账户');
});
Gate::define('manage-users', function (User $user) {
return $user->hasPermissionTo('manage-users')
? Response::allow()
: Response::deny('您没有管理用户的权限');
});
Gate::define('manage-posts', function (User $user, $categoryId = null) {
if ($user->hasRole('admin')) {
return Response::allow();
}
if ($user->hasRole('editor')) {
if ($categoryId) {
return $user->canManageCategory($categoryId)
? Response::allow()
: Response::deny('您没有管理此分类的权限');
}
return Response::allow();
}
return Response::deny('您没有管理帖子的权限');
});
Gate::define('view-dashboard', [DashboardPolicy::class, 'view']);
Gate::define('manage-settings', DashboardPolicy::class . '@manageSettings');
Gate::resource('products', ProductPolicy::class);
}
|
高级门控实现
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
|
class DashboardPolicy
{
public function view(User $user): Response
{
if (!$user->active) {
return Response::deny('您的账户已被禁用');
}
if ($user->hasRole('admin') || $user->hasRole('editor') || $user->hasRole('manager')) {
return Response::allow();
}
return Response::deny('您没有查看仪表板的权限');
}
public function viewType(User $user, string $type): Response
{
if (!$user->active) {
return Response::deny('您的账户已被禁用');
}
switch ($type) {
case 'admin':
return $user->hasRole('admin')
? Response::allow()
: Response::deny('您没有查看管理员仪表板的权限');
case 'editor':
return ($user->hasRole('admin') || $user->hasRole('editor'))
? Response::allow()
: Response::deny('您没有查看编辑仪表板的权限');
case 'sales':
return ($user->hasRole('admin') || $user->hasRole('sales'))
? Response::allow()
: Response::deny('您没有查看销售仪表板的权限');
default:
return Response::deny('无效的仪表板类型');
}
}
public function manageSettings(User $user, string $settingType = null): Response
{
if (!$user->active) {
return Response::deny('您的账户已被禁用');
}
if ($user->hasRole('admin')) {
return Response::allow();
}
if ($settingType) {
switch ($settingType) {
case 'profile':
return Response::allow('您可以管理个人设置');
case 'notifications':
return Response::allow('您可以管理通知设置');
default:
return Response::deny('您没有管理此类型设置的权限');
}
}
return Response::deny('您没有管理设置的权限');
}
}
|
门控的高级用法
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
|
class UserController extends Controller
{
public function index()
{
$this->authorize('manage-users');
$users = User::all();
return view('users.index', compact('users'));
}
public function edit(User $user)
{
$this->authorize('manage-user', $user);
return view('users.edit', compact('user'));
}
public function dashboard($type = 'default')
{
$this->authorize('viewType', [DashboardPolicy::class, $type]);
return view('dashboard.' . $type);
}
}
@can('admin-access')
<a href="{{ route('admin.dashboard') }}">管理仪表板</a>
@endcan
@cannot('admin-access')
<p>您没有管理员权限</p>
@endcannot
@can('manage-user', $user)
<a href="{{ route('users.edit', $user) }}">编辑用户</a>
@endcan
@can('viewType', [App\Policies\DashboardPolicy::class, 'admin'])
<a href="{{ route('dashboard.admin') }}">管理员仪表板</a>
@endcan
Route::middleware('can:admin-access')->group(function () {
Route::get('/admin/dashboard', [AdminController::class, 'dashboard']);
Route::resource('/admin/users', UserController::class);
});
Route::middleware(['can:viewType,App\Policies\DashboardPolicy,editor'])->group(function () {
Route::get('/editor/dashboard', [EditorController::class, 'dashboard']);
});
class UpdateUserRequest extends FormRequest
{
public function authorize()
{
return Gate::allows('manage-user', $this->route('user'));
}
public function rules()
{
return [
'name' => 'required|string|max:255',
'email' => 'required|email|max:255|unique:users,email,' . $this->route('user')->id,
];
}
}
|
门控的高级用法
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
class UserController extends Controller
{
public function index()
{
$this->authorize('manage-users');
$users = User::all();
return view('users.index', compact('users'));
}
public function edit(User $user)
{
$this->authorize('manage-user', $user);
return view('users.edit', compact('user'));
}
}
@can('admin-access')
<a href="{{ route('admin.dashboard') }}">管理仪表板</a>
@endcan
@cannot('admin-access')
<p>您没有管理员权限</p>
@endcannot
@can('manage-user', $user)
<a href="{{ route('users.edit', $user) }}">编辑用户</a>
@endcan
Route::middleware('can:admin-access')->group(function () {
Route::get('/admin/dashboard', [AdminController::class, 'dashboard']);
Route::resource('/admin/users', AdminUserController::class);
});
class AdminMiddleware
{
public function handle($request, Closure $next)
{
if (! Gate::allows('admin-access')) {
abort(403, 'Unauthorized action.');
}
return $next($request);
}
}
class UpdateUserRequest extends FormRequest
{
public function authorize()
{
return Gate::allows('manage-user', $this->route('user'));
}
public function rules()
{
return [
'name' => 'required|string|max:255',
'email' => 'required|email|max:255|unique:users,email,' . $this->route('user')->id,
];
}
}
|
门控的缓存优化
对于频繁检查的门控,Laravel 12 提供了缓存机制,显著提高授权检查性能。
1
2
3
4
5
6
7
8
|
'cache' => [
'enabled' => env('AUTH_CACHE_ENABLED', true),
'store' => env('AUTH_CACHE_STORE', 'redis'),
'prefix' => env('AUTH_CACHE_PREFIX', 'auth_'),
'ttl' => env('AUTH_CACHE_TTL', 3600),
],
|
门控的性能优化
- 合理使用缓存:启用门控缓存,减少重复的授权检查
- 简化门控逻辑:保持门控逻辑简洁,避免复杂的计算和数据库查询
- 批量授权检查:使用
Gate::check() 进行批量授权检查 - 预加载关系:在门控逻辑中使用预加载,减少数据库查询
- 使用门控过滤器:通过
before 方法处理通用授权逻辑,减少重复检查 - 使用缓存键:为不同的门控场景使用不同的缓存键,提高缓存命中率
- 定期清理缓存:在权限变更时,及时清理相关缓存
门控的最佳实践
设计原则
- 使用描述性的门控名称:使用清晰、描述性的名称,如
manage-users 而不是 admin - 保持门控逻辑简单:对于复杂逻辑,使用类方法或策略
- 最小权限原则:只授予用户完成任务所需的最小权限
- 可测试性:设计易于测试的门控逻辑
- 一致性:保持门控命名和逻辑的一致性
实现技巧
- 结合角色系统:与 Spatie Permission 等角色管理包结合使用,实现更复杂的权限管理
- 缓存门控结果:对于大型应用,启用门控缓存提高性能
- 日志门控失败:记录门控失败的情况,便于安全审计
- 测试门控:为每个门控编写单元测试,确保授权逻辑正确
- 使用门控参数:对于需要上下文的授权,使用门控参数
- 返回 Response 对象:使用
Response::allow() 和 Response::deny() 提供更详细的授权信息 - 使用门控过滤器:通过
before 和 after 方法处理通用逻辑
安全考虑
- 避免硬编码权限:使用权限常量或配置文件管理权限名称
- 防止权限提升:在门控逻辑中检查用户权限,防止权限提升攻击
- 定期审计:定期审计门控代码,确保授权规则符合安全要求
- 敏感操作保护:为敏感操作添加额外的授权检查
门控的测试
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
|
class GatesTest extends TestCase
{
use RefreshDatabase;
protected $admin;
protected $user;
protected $targetUser;
protected function setUp(): void
{
parent::setUp();
$this->admin = User::factory()->create();
$this->admin->assignRole('admin');
$this->user = User::factory()->create();
$this->user->assignRole('user');
$this->targetUser = User::factory()->create();
}
public function test_admin_can_access_admin_features()
{
$this->assertTrue(Gate::forUser($this->admin)->allows('admin-access'));
}
public function test_regular_user_cannot_access_admin_features()
{
$this->assertFalse(Gate::forUser($this->user)->allows('admin-access'));
}
public function test_user_can_manage_their_own_account()
{
$this->assertTrue(Gate::forUser($this->user)->allows('manage-user', $this->user));
}
public function test_user_cannot_manage_other_users_account()
{
$this->assertFalse(Gate::forUser($this->user)->allows('manage-user', $this->targetUser));
}
public function test_admin_can_manage_any_users_account()
{
$this->assertTrue(Gate::forUser($this->admin)->allows('manage-user', $this->targetUser));
}
public function test_admin_can_manage_posts()
{
$this->assertTrue(Gate::forUser($this->admin)->allows('manage-posts'));
}
public function test_admin_can_manage_posts_in_specific_category()
{
$categoryId = 1;
$this->assertTrue(Gate::forUser($this->admin)->allows('manage-posts', $categoryId));
}
public function test_user_cannot_manage_posts()
{
$this->assertFalse(Gate::forUser($this->user)->allows('manage-posts'));
}
}
|
门控与策略的对比
| 特性 | 门控 | 策略 |
|---|
| 适用场景 | 非模型级别的权限控制 | 模型级别的权限控制 |
| 灵活性 | 更高,可处理各种复杂场景 | 更专注于模型操作 |
| 代码组织 | 集中在 AuthServiceProvider 中 | 分散在各个策略类中 |
| 参数支持 | 支持任意参数 | 主要支持模型实例 |
| 自动发现 | 不支持,需要手动定义 | 支持自动发现 |
| 缓存机制 | 支持缓存 | 支持缓存 |
| 测试难度 | 相对简单 | 相对复杂 |
门控和策略各有优缺点,在实际应用中应根据具体场景选择合适的授权方式。对于模型相关的操作,推荐使用策略;对于非模型相关的操作,推荐使用门控。在复杂应用中,通常需要结合使用两者,构建完整的授权体系。
3.3 角色与权限深度优化
角色与权限系统是 Laravel 应用安全的重要组成部分,Spatie Laravel Permission 包提供了强大的角色和权限管理功能。以下是角色与权限系统的深入实现和最佳实践。
安装与配置 Spatie 权限包
1
2
3
| composer require spatie/laravel-permission
php artisan vendor:publish --provider="Spatie\Permission\PermissionServiceProvider"
php artisan migrate
|
配置 Spatie 权限包
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
return [
'models' => [
'permission' => Spatie\Permission\Models\Permission::class,
'role' => Spatie\Permission\Models\Role::class,
],
'table_names' => [
'roles' => 'roles',
'permissions' => 'permissions',
'model_has_permissions' => 'model_has_permissions',
'model_has_roles' => 'model_has_roles',
'role_has_permissions' => 'role_has_permissions',
],
'column_names' => [
'model_morph_key' => 'model_id',
],
'register_permission_check_method' => true,
'use_database_transactions' => true,
'cache' => [
'enabled' => true,
'expiration_time' => 3600,
'key' => 'spatie.permission.cache',
'store' => null,
],
];
|
角色与权限架构设计
角色与权限系统的架构设计应该考虑以下几个方面:
分层设计:
- 权限层:最细粒度的操作权限
- 角色层:权限的集合
- 用户层:角色的分配目标
权限命名规范:
- 模块+操作:如
user:create, post:edit - 资源+操作:如
manage-users, view-posts - 层级结构:如
admin:user:manage, editor:post:view
权限管理策略:
- 基于功能的权限:如
manage-users, manage-posts - 基于数据的权限:如
view-own-posts, edit-own-comments - 基于环境的权限:如
access-production, access-staging
高级角色与权限管理
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
|
use Illuminate\Foundation\Auth\User as Authenticatable;
use Spatie\Permission\Traits\HasRoles;
class User extends Authenticatable
{
use HasRoles;
}
use Spatie\Permission\Models\Role;
use Spatie\Permission\Models\Permission;
Permission::create(['name' => 'view-dashboard']);
Permission::create(['name' => 'manage-users']);
Permission::create(['name' => 'manage-posts']);
Permission::create(['name' => 'manage-categories']);
Permission::create(['name' => 'manage-comments']);
Permission::create(['name' => 'view-own-posts']);
Permission::create(['name' => 'edit-own-posts']);
Permission::create(['name' => 'delete-own-posts']);
$adminRole = Role::create(['name' => 'admin']);
$editorRole = Role::create(['name' => 'editor']);
$authorRole = Role::create(['name' => 'author']);
$userRole = Role::create(['name' => 'user']);
$adminRole->givePermissionTo([
'view-dashboard',
'manage-users',
'manage-posts',
'manage-categories',
'manage-comments'
]);
$editorRole->givePermissionTo([
'view-dashboard',
'manage-posts',
'manage-categories',
'manage-comments'
]);
$authorRole->givePermissionTo([
'view-dashboard',
'view-own-posts',
'edit-own-posts',
'delete-own-posts'
]);
$userRole->givePermissionTo([
'view-dashboard'
]);
$user->assignRole('admin');
$user->assignRole(['admin', 'editor']);
$user->syncRoles(['admin', 'editor']);
$user->removeRole('editor');
$user->givePermissionTo('manage-users');
if ($user->can('manage-users')) {
}
if ($user->hasRole('admin')) {
}
if ($user->hasAnyRole(['admin', 'editor'])) {
}
if ($user->hasAllRoles(['admin', 'editor'])) {
}
|
权限缓存优化
Spatie Permission 包提供了缓存机制,显著提高权限检查性能:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
'cache' => [
'enabled' => true,
'expiration_time' => 3600,
'key' => 'spatie.permission.cache',
'store' => 'redis',
],
app()->make('cache')->forget('spatie.permission.cache');
use Spatie\Permission\PermissionRegistrar;
public function boot()
{
$this->registerPolicies();
$permissionRegistrar = app(PermissionRegistrar::class);
$permissionRegistrar->setCacheKey('my-app.permission.cache');
$permissionRegistrar->setCacheExpirationTime(7200);
}
|
权限审计
权限审计是确保权限系统安全的重要环节:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
|
use Spatie\Permission\Events\PermissionCreated;
use Spatie\Permission\Events\PermissionUpdated;
use Spatie\Permission\Events\PermissionDeleted;
use Spatie\Permission\Events\RoleCreated;
use Spatie\Permission\Events\RoleUpdated;
use Spatie\Permission\Events\RoleDeleted;
class PermissionEventListener
{
public function handlePermissionCreated(PermissionCreated $event)
{
Log::info('Permission created', [
'permission' => $event->permission->name,
'created_by' => auth()->id(),
'timestamp' => now(),
]);
}
public function handlePermissionUpdated(PermissionUpdated $event)
{
Log::info('Permission updated', [
'permission' => $event->permission->name,
'updated_by' => auth()->id(),
'timestamp' => now(),
]);
}
public function handlePermissionDeleted(PermissionDeleted $event)
{
Log::info('Permission deleted', [
'permission' => $event->permission->name,
'deleted_by' => auth()->id(),
'timestamp' => now(),
]);
}
public function handleRoleCreated(RoleCreated $event)
{
Log::info('Role created', [
'role' => $event->role->name,
'created_by' => auth()->id(),
'timestamp' => now(),
]);
}
public function handleRoleUpdated(RoleUpdated $event)
{
Log::info('Role updated', [
'role' => $event->role->name,
'updated_by' => auth()->id(),
'timestamp' => now(),
]);
}
public function handleRoleDeleted(RoleDeleted $event)
{
Log::info('Role deleted', [
'role' => $event->role->name,
'deleted_by' => auth()->id(),
'timestamp' => now(),
]);
}
}
protected $listen = [
PermissionCreated::class => [
PermissionEventListener::class . '@handlePermissionCreated',
],
PermissionUpdated::class => [
PermissionEventListener::class . '@handlePermissionUpdated',
],
PermissionDeleted::class => [
PermissionEventListener::class . '@handlePermissionDeleted',
],
RoleCreated::class => [
PermissionEventListener::class . '@handleRoleCreated',
],
RoleUpdated::class => [
PermissionEventListener::class . '@handleRoleUpdated',
],
RoleDeleted::class => [
PermissionEventListener::class . '@handleRoleDeleted',
],
];
|
权限测试
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
|
class PermissionTest extends TestCase
{
use RefreshDatabase;
protected $admin;
protected $editor;
protected $author;
protected $user;
protected function setUp(): void
{
parent::setUp();
$this->createRolesAndPermissions();
$this->admin = User::factory()->create();
$this->admin->assignRole('admin');
$this->editor = User::factory()->create();
$this->editor->assignRole('editor');
$this->author = User::factory()->create();
$this->author->assignRole('author');
$this->user = User::factory()->create();
$this->user->assignRole('user');
}
protected function createRolesAndPermissions()
{
Permission::create(['name' => 'view-dashboard']);
Permission::create(['name' => 'manage-users']);
Permission::create(['name' => 'manage-posts']);
$adminRole = Role::create(['name' => 'admin']);
$editorRole = Role::create(['name' => 'editor']);
$authorRole = Role::create(['name' => 'author']);
$userRole = Role::create(['name' => 'user']);
$adminRole->givePermissionTo(['view-dashboard', 'manage-users', 'manage-posts']);
$editorRole->givePermissionTo(['view-dashboard', 'manage-posts']);
$authorRole->givePermissionTo(['view-dashboard']);
$userRole->givePermissionTo(['view-dashboard']);
}
public function test_admin_has_all_permissions()
{
$this->assertTrue($this->admin->can('view-dashboard'));
$this->assertTrue($this->admin->can('manage-users'));
$this->assertTrue($this->admin->can('manage-posts'));
}
public function test_editor_has_limited_permissions()
{
$this->assertTrue($this->editor->can('view-dashboard'));
$this->assertTrue($this->editor->can('manage-posts'));
$this->assertFalse($this->editor->can('manage-users'));
}
public function test_author_has_basic_permissions()
{
$this->assertTrue($this->author->can('view-dashboard'));
$this->assertFalse($this->author->can('manage-posts'));
$this->assertFalse($this->author->can('manage-users'));
}
public function test_user_has_minimal_permissions()
{
$this->assertTrue($this->user->can('view-dashboard'));
$this->assertFalse($this->user->can('manage-posts'));
$this->assertFalse($this->user->can('manage-users'));
}
public function test_role_assignment()
{
$user = User::factory()->create();
$user->assignRole('editor');
$this->assertTrue($user->hasRole('editor'));
$this->assertTrue($user->can('view-dashboard'));
$this->assertTrue($user->can('manage-posts'));
}
public function test_role_removal()
{
$user = User::factory()->create();
$user->assignRole('editor');
$user->removeRole('editor');
$this->assertFalse($user->hasRole('editor'));
$this->assertFalse($user->can('manage-posts'));
}
}
|
角色与权限的最佳实践
设计原则
- 最小权限原则:只授予用户完成任务所需的最小权限
- 权限分层:将权限分为不同层级,便于管理和分配
- 权限命名规范:使用清晰、一致的命名规范,如
module:action - 角色继承:利用角色继承关系,减少权限管理复杂度
- 可扩展性:设计灵活的权限系统,支持未来的功能扩展
实现技巧
- 使用权限常量:定义权限常量,避免硬编码
- 权限分组:将相关权限分组,便于管理
- 批量操作:使用批量操作管理权限,提高效率
- 缓存优化:启用权限缓存,提高性能
- 事件监听:监听权限变更事件,记录审计日志
- 权限测试:为权限系统编写完整的测试用例
安全考虑
- 权限验证:在所有敏感操作前进行权限验证
- 权限审计:定期审计权限分配,确保符合安全要求
- 权限回收:及时回收不再需要的权限
- 权限提升防护:防止用户通过漏洞提升权限
- 敏感操作保护:为敏感操作添加额外的权限检查
性能优化
启用缓存:启用权限缓存,减少数据库查询
优化查询:使用预加载和批量查询,减少数据库负载
权限分组:将权限分组,减少权限检查次数
缓存策略:合理设置缓存过期时间,平衡性能和一致性
数据库索引:为权限相关表添加适当的索引,提高查询速度
{
$admin = User::factory()->create();
$admin->assignRole(‘admin’);
$this->assertTrue($admin->can(‘view-dashboard’));
$this->assertTrue($admin->can(‘manage-users’));
$this->assertTrue($admin->can(‘manage-posts’));
}
/**
测试编辑角色拥有部分权限
*/
public function test_editor_role_has_some_permissions()
{
$editor = User::factory()->create();
$editor->assignRole(‘editor’);
$this->assertTrue($editor->can(‘view-dashboard’));
$this->assertTrue($editor->can(‘manage-posts’));
$this->assertFalse($editor->can(‘manage-users’));
}
/**
测试普通用户只有基本权限
*/
public function test_user_role_has_basic_permissions()
{
$user = User::factory()->create();
$user->assignRole(‘user’);
$this->assertTrue($user->can(‘view-dashboard’));
$this->assertFalse($user->can(‘manage-posts’));
$this->assertFalse($user->can(‘manage-users’));
}
/**
测试权限继承
*/
public function test_permission_inheritance()
{
$user = User::factory()->create();
$user->givePermissionTo(‘manage-posts’);
$this->assertTrue($user->can(‘manage-posts’));
$this->assertFalse($user->can(‘manage-users’));
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
#### 角色与权限的最佳实践
1. **使用描述性的权限名称**:使用清晰、描述性的权限名称,如 `manage-users` 而不是 `user`
2. **遵循最小权限原则**:只授予用户完成任务所需的最小权限
3. **使用角色层级**:创建从低到高的角色层级,如 `user` → `author` → `editor` → `admin`
4. **缓存权限**:启用权限缓存,提高性能
5. **定期审计**:定期审计用户权限,确保权限分配合理
6. **使用中间件保护路由**:使用角色和权限中间件保护敏感路由
7. **测试权限**:为角色和权限编写单元测试,确保权限逻辑正确
8. **文档化权限**:记录所有角色和权限的用途和层级关系
#### 权限系统的扩展
```php
// 创建权限管理控制器
class PermissionController extends Controller
{
/**
* 显示权限列表
*/
public function index()
{
$permissions = Permission::all();
$roles = Role::all();
return view('admin.permissions.index', compact('permissions', 'roles'));
}
/**
* 分配权限给角色
*/
public function assign(Request $request, Role $role)
{
$role->syncPermissions($request->input('permissions', []));
return redirect()->back()->with('success', '权限分配成功');
}
/**
* 分配角色给用户
*/
public function assignRole(Request $request, User $user)
{
$user->syncRoles($request->input('roles', []));
return redirect()->back()->with('success', '角色分配成功');
}
}
// 路由
Route::middleware(['role:admin'])->group(function () {
Route::resource('permissions', PermissionController::class);
Route::post('roles/{role}/assign', [PermissionController::class, 'assign'])->name('roles.assign');
Route::post('users/{user}/assign-role', [PermissionController::class, 'assignRole'])->name('users.assignRole');
});
|
通过以上的深度优化,Laravel 应用的授权系统将更加安全、灵活和高效。角色与权限系统的合理设计是构建安全 Laravel 应用的重要基础。
4. 输入验证与数据清洗深度优化
输入验证和数据清洗是防止恶意输入和数据污染的关键环节。Laravel 12 提供了强大的验证系统,结合最佳实践可以构建更安全的应用。
4.1 表单验证深度优化
基本验证
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
|
$validated = $request->validate([
'name' => 'required|string|max:255',
'email' => 'required|email|unique:users|max:255',
'password' => 'required|string|min:8|confirmed',
'age' => 'nullable|integer|min:18|max:120',
'phone' => 'nullable|regex:/^\+?[0-9\s-]+$/',
'website' => 'nullable|url',
'terms' => 'accepted',
]);
use Illuminate\Support\Facades\Validator;
$validator = Validator::make($request->all(), [
'name' => 'required|string|max:255',
'email' => 'required|email|unique:users|max:255',
'password' => 'required|string|min:8|confirmed',
], [
'name.required' => '姓名不能为空',
'email.required' => '邮箱不能为空',
'email.email' => '请输入有效的邮箱地址',
'email.unique' => '该邮箱已被注册',
'password.required' => '密码不能为空',
'password.min' => '密码长度至少为8位',
'password.confirmed' => '两次输入的密码不一致',
]);
if ($validator->fails()) {
return redirect('register')
->withErrors($validator)
->withInput();
}
$validated = $validator->validated();
|
表单请求验证
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
|
php artisan make:request RegisterRequest
<?php
namespace App\Http\Requests;
use Illuminate\Foundation\Http\FormRequest;
class RegisterRequest extends FormRequest
{
public function authorize()
{
return true;
}
public function rules()
{
return [
'name' => 'required|string|max:255',
'email' => 'required|email|unique:users|max:255',
'password' => 'required|string|min:8|confirmed',
];
}
public function messages()
{
return [
'name.required' => '姓名不能为空',
'email.required' => '邮箱不能为空',
'email.email' => '请输入有效的邮箱地址',
'email.unique' => '该邮箱已被注册',
'password.required' => '密码不能为空',
'password.min' => '密码长度至少为8位',
'password.confirmed' => '两次输入的密码不一致',
];
}
public function attributes()
{
return [
'name' => '姓名',
'email' => '邮箱',
'password' => '密码',
];
}
}
use App\Http\Requests\RegisterRequest;
public function register(RegisterRequest $request)
{
$validated = $request->validated();
$user = User::create([
'name' => $validated['name'],
'email' => $validated['email'],
'password' => bcrypt($validated['password']),
]);
}
|
自定义验证规则
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
|
php artisan make:rule StrongPassword
<?php
namespace App\Rules;
use Illuminate\Contracts\Validation\Rule;
use Illuminate\Contracts\Validation\DataAwareRule;
use Illuminate\Contracts\Validation\ValidatorAwareRule;
class StrongPassword implements Rule, DataAwareRule, ValidatorAwareRule
{
protected $data = [];
protected $validator;
public function setData($data)
{
$this->data = $data;
return $this;
}
public function setValidator($validator)
{
$this->validator = $validator;
return $this;
}
public function passes($attribute, $value)
{
if (strlen($value) < 8) {
return false;
}
if (!preg_match('/[a-z]/', $value)) {
return false;
}
if (!preg_match('/[A-Z]/', $value)) {
return false;
}
if (!preg_match('/\d/', $value)) {
return false;
}
if (!preg_match('/[@$!%*?&]/', $value)) {
return false;
}
if (isset($this->data['name']) && strtolower($value) === strtolower($this->data['name'])) {
return false;
}
if (isset($this->data['email']) && strtolower($value) === strtolower(explode('@', $this->data['email'])[0])) {
return false;
}
return true;
}
public function message()
{
return '密码必须包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符,且长度至少为8位,不能与用户名或邮箱相同。';
}
}
$request->validate([
'name' => 'required|string|max:255',
'email' => 'required|email|unique:users|max:255',
'password' => ['required', 'string', 'confirmed', new StrongPassword],
]);
use Illuminate\Support\Facades\Validator;
public function boot()
{
Validator::extend('strong_password', function ($attribute, $value, $parameters, $validator) {
return preg_match('/^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{8,}$/', $value);
});
Validator::replacer('strong_password', function ($message, $attribute, $rule, $parameters) {
return '密码必须包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符,且长度至少为8位。';
});
}
$request->validate([
'password' => 'required|string|strong_password|confirmed',
]);
|
验证规则组
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
use Illuminate\Support\Facades\Validator;
public function boot()
{
Validator::extend('user_profile', function ($attribute, $value, $parameters, $validator) {
return true;
});
$this->app['validator']->extendImplicit('user_profile', function ($attribute, $value, $parameters, $validator) {
return true;
});
}
$request->validate([
'profile' => 'required|user_profile',
]);
|
4.2 输入清洗深度优化
数据清洗方法
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
$name = $request->input('name', '', FILTER_SANITIZE_STRING);
$email = $request->input('email', '', FILTER_SANITIZE_EMAIL);
$url = $request->input('url', '', FILTER_SANITIZE_URL);
$int = $request->input('age', 0, FILTER_SANITIZE_NUMBER_INT);
$float = $request->input('price', 0, FILTER_SANITIZE_NUMBER_FLOAT);
$name = trim(strip_tags($request->input('name')));
$email = filter_var($request->input('email'), FILTER_VALIDATE_EMAIL);
$url = filter_var($request->input('url'), FILTER_VALIDATE_URL);
$validated = $request->validate([
'name' => 'required|string|max:255|strip_tags',
'email' => 'required|email|max:255|normalize_email',
'content' => 'required|string|clean',
]);
function cleanInput($input)
{
if (is_array($input)) {
return array_map('cleanInput', $input);
}
return trim(strip_tags(htmlspecialchars($input, ENT_QUOTES, 'UTF-8')));
}
$cleanData = cleanInput($request->all());
|
使用 HTMLPurifier 进行高级清洗
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
|
composer require mews/purifier
php artisan vendor:publish --provider="Mews\Purifier\PurifierServiceProvider"
return [
'settings' => [
'default' => [
'HTML.Doctype' => 'HTML 4.01 Transitional',
'HTML.Allowed' => 'div,b,strong,i,em,u,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]',
'CSS.AllowedProperties' => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align',
'AutoFormat.AutoParagraph' => true,
'AutoFormat.RemoveEmpty' => true,
],
'stripAll' => [
'HTML.Allowed' => '',
'CSS.AllowedProperties' => '',
'AutoFormat.AutoParagraph' => false,
'AutoFormat.RemoveEmpty' => true,
],
],
];
use Mews\Purifier\Facades\Purifier;
$cleanHtml = Purifier::clean($dirtyHtml);
$cleanHtml = Purifier::clean($dirtyHtml, 'stripAll');
Validator::extend('clean_html', function ($attribute, $value, $parameters, $validator) {
return Purifier::clean($value);
});
$validated = $request->validate([
'content' => 'required|string|clean_html',
]);
|
输入清洗中间件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
|
php artisan make:middleware InputCleanup
<?php
namespace App\Http\Middleware;
use Closure;
use Illuminate\Support\Str;
class InputCleanup
{
public function handle($request, Closure $next)
{
$input = $request->all();
$cleanInput = $this->cleanInput($input);
$request->merge($cleanInput);
return $next($request);
}
protected function cleanInput($input)
{
if (is_array($input)) {
return array_map([$this, 'cleanInput'], $input);
}
if (is_string($input)) {
$input = strip_tags($input);
$input = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
$input = trim($input);
}
return $input;
}
}
protected $middleware = [
\App\Http\Middleware\InputCleanup::class,
];
protected $routeMiddleware = [
'clean.input' => \App\Http\Middleware\InputCleanup::class,
];
Route::middleware('clean.input')->group(function () {
Route::post('/contact', [ContactController::class, 'store']);
Route::post('/comment', [CommentController::class, 'store']);
});
|
数据绑定与清洗
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
|
class User extends Authenticatable
{
protected $casts = [
'email' => 'string',
'name' => 'string',
'age' => 'integer',
];
public function beforeSave()
{
$this->name = trim(strip_tags($this->name));
$this->email = filter_var($this->email, FILTER_VALIDATE_EMAIL);
}
protected static function boot()
{
parent::boot();
static::saving(function ($user) {
$user->name = trim(strip_tags($user->name));
$user->email = filter_var($user->email, FILTER_VALIDATE_EMAIL);
});
}
}
class User extends Authenticatable
{
public function getNameAttribute($value)
{
return trim(strip_tags($value));
}
public function setNameAttribute($value)
{
$this->attributes['name'] = trim(strip_tags($value));
}
public function getEmailAttribute($value)
{
return filter_var($value, FILTER_VALIDATE_EMAIL);
}
public function setEmailAttribute($value)
{
$this->attributes['email'] = filter_var($value, FILTER_VALIDATE_EMAIL);
}
}
|
输入验证与清洗的最佳实践
- 使用表单请求:对于复杂的表单,使用表单请求类进行验证
- 自定义验证规则:对于特殊的验证需求,创建自定义验证规则
- 使用 HTMLPurifier:对于富文本内容,使用 HTMLPurifier 进行清洗
- 输入清洗中间件:对于所有用户输入,使用中间件进行统一清洗
- 模型钩子:在模型保存前进行数据清洗
- 访问器和修改器:使用 Laravel 的访问器和修改器进行数据清洗
- 验证后的数据:始终使用验证后的数据,而不是原始输入
- 错误处理:提供清晰的错误消息,帮助用户正确输入
- 安全头部:使用 Content-Security-Policy 等安全头部防止 XSS 攻击
- 定期审计:定期审计输入验证和清洗代码,确保安全性
通过以上的深度优化,Laravel 应用的输入验证和数据清洗系统将更加安全、可靠和高效。输入验证和数据清洗是构建安全 Laravel 应用的重要基础,应该得到足够的重视。
5. CSRF 防护深度优化
跨站请求伪造(CSRF)是一种常见的网络攻击方式,Laravel 12 提供了强大的 CSRF 防护机制。以下是 CSRF 防护的深入实现和最佳实践。
5.1 CSRF 防护原理
CSRF 攻击的原理是攻击者利用用户的身份执行未授权的操作。Laravel 的 CSRF 防护机制通过以下步骤工作:
- 生成令牌:为每个用户会话生成唯一的 CSRF 令牌
- 存储令牌:将令牌存储在用户会话中
- 验证令牌:在处理非 GET 请求时验证请求中的令牌是否与会话中的令牌匹配
5.2 基本配置
CSRF 中间件
Laravel 默认在 web 中间件组中包含了 CSRF 防护:
1
2
3
4
5
6
7
8
9
10
11
|
protected $middlewareGroups = [
'web' => [
\App\Http\Middleware\EncryptCookies::class,
\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
\Illuminate\Session\Middleware\StartSession::class,
\Illuminate\View\Middleware\ShareErrorsFromSession::class,
\App\Http\Middleware\VerifyCsrfToken::class,
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
];
|
自定义 CSRF 中间件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
|
php artisan make:middleware CustomVerifyCsrfToken
<?php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;
class CustomVerifyCsrfToken extends Middleware
{
protected $except = [
'stripe/*',
'payment/*',
'webhook/*',
'api/*',
];
protected function tokensMatch($request)
{
$token = $this->getTokenFromRequest($request);
return is_string($request->session()->token()) &&
is_string($token) &&
hash_equals($request->session()->token(), $token);
}
protected function getTokenFromRequest($request)
{
$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
$token = $this->encrypter->decrypt($header, static::serialized());
}
return $token;
}
}
protected $middlewareGroups = [
'web' => [
\App\Http\Middleware\CustomVerifyCsrfToken::class,
],
];
|
5.3 使用 CSRF 令牌
在表单中使用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| <form method="POST" action="/profile">
@csrf
<div class="form-group">
<label for="name">姓名</label>
<input type="text" class="form-control" id="name" name="name" required>
</div>
<div class="form-group">
<label for="email">邮箱</label>
<input type="email" class="form-control" id="email" name="email" required>
</div>
<button type="submit" class="btn btn-primary">提交</button>
</form>
|
在 AJAX 请求中使用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
|
const token = document.head.querySelector('meta[name="csrf-token"]').content;
axios.defaults.headers.common['X-CSRF-TOKEN'] = token;
axios.post('/api/user', {
name: 'John Doe',
email: 'john@example.com'
}).then(response => {
console.log(response.data);
}).catch(error => {
console.error(error);
});
axios.post('/api/user', {
_token: token,
name: 'John Doe',
email: 'john@example.com'
});
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
$.post('/api/user', {
name: 'John Doe',
email: 'john@example.com'
}, function(response) {
console.log(response);
});
|
在 API 请求中使用
对于 API 请求,推荐使用令牌认证而不是 CSRF 令牌:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
use Illuminate\Support\Facades\Route;
Route::post('/login', [AuthController::class, 'login']);
Route::post('/register', [AuthController::class, 'register']);
Route::middleware('auth:sanctum')->group(function () {
Route::get('/user', [UserController::class, 'show']);
Route::put('/user', [UserController::class, 'update']);
Route::delete('/user', [UserController::class, 'destroy']);
});
|
5.4 CSRF 令牌的高级配置
令牌存储与加密
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
return [
'driver' => env('SESSION_DRIVER', 'file'),
'lifetime' => env('SESSION_LIFETIME', 120),
'expire_on_close' => false,
'encrypt' => true,
'files' => storage_path('framework/sessions'),
'connection' => env('SESSION_CONNECTION', null),
'table' => 'sessions',
'store' => env('SESSION_STORE', null),
'lottery' => [2, 100],
'cookie' => env('SESSION_COOKIE', Str::slug(env('APP_NAME', 'laravel'), '_').'_session'),
'path' => '/',
'domain' => env('SESSION_DOMAIN', null),
'secure' => env('SESSION_SECURE_COOKIE'),
'http_only' => true,
'same_site' => 'lax',
'partitioned' => false,
];
return [
'key' => env('APP_KEY'),
'cipher' => 'AES-256-CBC',
];
|
CSRF 令牌的安全传输
1
2
3
4
5
6
7
8
9
10
11
|
<head>
<meta name="csrf-token" content="{{ csrf_token() }}">
</head>
<form method="POST" action="{{ secure_url('/profile') }}">
@csrf
</form>
|
5.5 CSRF 防护的最佳实践
- 始终使用 CSRF 令牌:对于所有非 GET 请求,始终包含 CSRF 令牌
- 使用 HTTPS:使用 HTTPS 确保 CSRF 令牌的安全传输
- 合理配置
same_site:根据应用需求配置 same_site cookie 属性 - 排除必要的路由:只排除确实需要的路由(如 webhook),不要过度排除
- 使用 Sanctum 进行 API 认证:对于 API 请求,使用 Sanctum 令牌认证而不是 CSRF 令牌
- 定期轮换令牌:考虑定期轮换 CSRF 令牌,增加安全性
- 监控 CSRF 失败:监控 CSRF 验证失败的情况,可能是攻击尝试
- 使用内容安全策略:结合内容安全策略(CSP)进一步增强安全性
5.6 处理 CSRF 令牌过期
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
class HandleExpiredCsrfToken extends Middleware
{
protected function handleInvalidToken($request, Closure $next)
{
if ($request->expectsJson()) {
return response()->json(['error' => 'CSRF token expired.'], 419);
}
return redirect()->back()
->withInput($request->except('_token'))
->withErrors(['csrf' => '会话已过期,请重新提交表单。']);
}
}
axios.interceptors.response.use(response => {
return response;
}, error => {
if (error.response && error.response.status === 419) {
location.reload();
}
return Promise.reject(error);
});
|
5.7 CSRF 防护的测试
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
class CsrfProtectionTest extends TestCase
{
public function test_request_with_valid_csrf_token_succeeds()
{
$user = User::factory()->create();
$this->actingAs($user);
$response = $this->post('/profile', [
'_token' => csrf_token(),
'name' => 'Updated Name',
'email' => 'updated@example.com',
]);
$response->assertStatus(302);
$response->assertRedirect('/profile');
}
public function test_request_without_csrf_token_fails()
{
$user = User::factory()->create();
$this->actingAs($user);
$response = $this->post('/profile', [
'name' => 'Updated Name',
'email' => 'updated@example.com',
]);
$response->assertStatus(419);
}
public function test_request_with_invalid_csrf_token_fails()
{
$user = User::factory()->create();
$this->actingAs($user);
$response = $this->post('/profile', [
'_token' => 'invalid-token',
'name' => 'Updated Name',
'email' => 'updated@example.com',
]);
$response->assertStatus(419);
}
}
|
通过以上的深度优化,Laravel 应用的 CSRF 防护将更加安全、可靠和高效。CSRF 防护是构建安全 Laravel 应用的重要组成部分,应该得到足够的重视。
6. XSS 防护深度优化
跨站脚本(XSS)攻击是一种常见的网络攻击方式,Laravel 12 提供了多层 XSS 防护措施。以下是 XSS 防护的深入实现和最佳实践。
6.1 XSS 攻击类型
XSS 攻击主要分为三种类型:
- 存储型 XSS:恶意代码被存储在服务器数据库中,当其他用户访问相关页面时执行
- 反射型 XSS:恶意代码通过 URL 参数传递,服务器将其反射回浏览器执行
- DOM 型 XSS:恶意代码通过修改页面 DOM 结构执行,不经过服务器
6.2 Blade 模板自动编码
Blade 模板默认会对输出进行 HTML 编码,防止 XSS 攻击:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
{{ $user->name }} <!-- 会被编码为 <script>alert('XSS')</script> -->
{!! $user->bio !!} <!-- 不会被编码,可能导致 XSS 攻击 -->
@if($user->isVerified())
{{ $user->name }} <!-- 安全编码 -->
@else
{{ e($user->name) }} <!-- 显式编码 -->
@endif
{!! $user->trusted_content !!}
|
6.3 内容安全策略(CSP)
内容安全策略(CSP)是一种强大的安全机制,可以有效防止 XSS 攻击。
配置 CSP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
|
php artisan make:middleware ContentSecurityPolicy
<?php
namespace App\Http\Middleware;
use Closure;
class ContentSecurityPolicy
{
public function handle($request, Closure $next)
{
$response = $next($request);
if (app()->environment('local')) {
$csp = "
default-src 'self';
script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdnjs.cloudflare.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
img-src 'self' data: https://picsum.photos;
font-src 'self' https://fonts.gstatic.com;
connect-src 'self';
frame-src 'none';
object-src 'none';
base-uri 'self';
form-action 'self';
upgrade-insecure-requests;
";
} else {
$csp = "
default-src 'self';
script-src 'self' https://cdnjs.cloudflare.com;
style-src 'self' https://fonts.googleapis.com;
img-src 'self' https://picsum.photos;
font-src 'self' https://fonts.gstatic.com;
connect-src 'self';
frame-src 'none';
object-src 'none';
base-uri 'self';
form-action 'self';
upgrade-insecure-requests;
report-uri /csp-violation-report;
";
}
$csp = preg_replace('/\s+/', ' ', trim($csp));
$response->headers->set('Content-Security-Policy', $csp);
return $response;
}
}
protected $middleware = [
\App\Http\Middleware\ContentSecurityPolicy::class,
];
|
CSP 报告端点
1
2
3
4
5
6
7
|
Route::post('/csp-violation-report', function (Illuminate\Http\Request $request) {
Log::warning('CSP Violation Report', $request->all());
return response()->json(['status' => 'received']);
});
|
6.4 输出编码
手动编码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
$encoded = e($userInput);
$encoded = htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
$encoded = htmlentities($userInput, ENT_QUOTES, 'UTF-8');
$encoded = urlencode($userInput);
$encoded = json_encode($userInput, JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT);
function js_escape($string)
{
return str_replace(["\\", "'", '"', "\n", "\r", "\t", "\b", "\f"], ["\\\\", "\\'", '\\"', "\\n", "\\r", "\\t", "\\b", "\\f"], $string);
}
$encoded = js_escape($userInput);
|
使用 HTMLPurifier
HTMLPurifier 是一个强大的 HTML 清理库,可以有效防止 XSS 攻击:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
|
composer require mews/purifier
php artisan vendor:publish --provider="Mews\Purifier\PurifierServiceProvider"
return [
'settings' => [
'default' => [
'HTML.Doctype' => 'HTML 5',
'HTML.Allowed' => 'div,b,strong,i,em,u,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]',
'CSS.AllowedProperties' => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align',
'AutoFormat.AutoParagraph' => true,
'AutoFormat.RemoveEmpty' => true,
],
'basic' => [
'HTML.Allowed' => 'b,strong,i,em,u,br,p',
'CSS.AllowedProperties' => '',
'AutoFormat.AutoParagraph' => true,
'AutoFormat.RemoveEmpty' => true,
],
'strict' => [
'HTML.Allowed' => '',
'CSS.AllowedProperties' => '',
'AutoFormat.AutoParagraph' => false,
'AutoFormat.RemoveEmpty' => true,
],
],
];
use Mews\Purifier\Facades\Purifier;
$cleanHtml = Purifier::clean($dirtyHtml);
$basicCleanHtml = Purifier::clean($dirtyHtml, 'basic');
$strictCleanHtml = Purifier::clean($dirtyHtml, 'strict');
class Post extends Model
{
public function setContentAttribute($value)
{
$this->attributes['content'] = Purifier::clean($value);
}
public function getContentAttribute($value)
{
return Purifier::clean($value);
}
}
|
6.5 输入验证与清洗
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
$validated = $request->validate([
'name' => 'required|string|max:255|strip_tags',
'email' => 'required|email|max:255|normalize_email',
'content' => 'required|string|clean',
]);
Validator::extend('no_script', function ($attribute, $value, $parameters, $validator) {
return !str_contains(strtolower($value), '<script');
});
$validated = $request->validate([
'content' => 'required|string|no_script',
]);
|
6.6 XSS 防护的最佳实践
- 使用 Blade 模板的自动编码:始终使用
{{ }} 进行输出,仅在必要时使用 {!! !!} - 实施内容安全策略(CSP):配置严格的 CSP 头部,防止未授权的脚本执行
- 使用 HTMLPurifier:对于富文本内容,使用 HTMLPurifier 进行清理
- 输入验证和清洗:对所有用户输入进行验证和清洗
- 使用 HTTPS:使用 HTTPS 防止中间人攻击篡改内容
- 设置安全头部:除了 CSP,还应设置其他安全头部,如 X-XSS-Protection
- 定期更新依赖:定期更新 Laravel 和相关依赖,修复安全漏洞
- 安全审计:定期进行安全审计,检查潜在的 XSS 漏洞
- 教育开发人员:培训开发人员了解 XSS 攻击的危害和防护措施
- 使用安全的 JavaScript 框架:使用 React、Vue 等现代 JavaScript 框架,它们内置了 XSS 防护机制
6.7 XSS 防护的测试
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
class XssProtectionTest extends TestCase
{
public function test_blade_template_auto_escapes()
{
$xssPayload = '<script>alert("XSS")</script>';
$view = view('test', ['payload' => $xssPayload]);
$content = $view->render();
$this->assertStringContainsString('<script>alert("XSS")</script>', $content);
$this->assertStringNotContainsString('<script>alert("XSS")</script>', $content);
}
public function test_html_purifier_cleans_xss()
{
$xssPayload = '<script>alert("XSS")</script><p>Hello</p>';
$clean = Purifier::clean($xssPayload);
$this->assertStringNotContainsString('<script>alert("XSS")</script>', $clean);
$this->assertStringContainsString('<p>Hello</p>', $clean);
}
public function test_csp_header_is_set()
{
$response = $this->get('/');
$response->assertHeader('Content-Security-Policy');
$cspHeader = $response->headers->get('Content-Security-Policy');
$this->assertStringContainsString('default-src self', $cspHeader);
}
}
|
6.8 高级 XSS 防护技巧
使用 Subresource Integrity (SRI)
1
2
3
4
|
<script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.6.0/jquery.min.js"
integrity="sha512-894YE6QWD5I59HgZOGReFYm4dnWc1Qt5NtvYSaNcOP+u1T9qYdvdihz0PPSiiqn/+/3e7Jo4EaG7TubfWGUrMQ=="
crossorigin="anonymous"></script>
|
安全的 JavaScript 输出
1
2
3
4
5
6
7
|
<script>
window.app = {
user: {!! json_encode($user, JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT) !!},
config: {!! json_encode($config, JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT) !!}
};
</script>
|
防止 DOM 型 XSS
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
function unsafe() {
var userInput = document.getElementById('user-input').value;
document.getElementById('output').innerHTML = userInput;
}
function safe() {
var userInput = document.getElementById('user-input').value;
document.getElementById('output').textContent = userInput;
}
function App() {
const [input, setInput] = useState('');
return (
<div>
<input type="text" onChange={(e) => setInput(e.target.value)} />
<div>{input}</div> {/* 安全,React 会自动编码 */}
</div>
);
}
|
通过以上的深度优化,Laravel 应用的 XSS 防护将更加安全、可靠和高效。XSS 防护是构建安全 Laravel 应用的重要组成部分,应该得到足够的重视。
7. SQL 注入防护
Laravel 12 使用 Eloquent ORM 和查询构建器,提供了强大的 SQL 注入防护。
7.1 使用 Eloquent ORM
1
2
3
4
5
6
7
8
|
$user = User::where('email', $request->input('email'))->first();
$user->update(['name' => $request->input('name')]);
$user->delete();
|
7.2 使用查询构建器
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
$users = DB::table('users')
->where('name', $request->input('name'))
->where('age', '>', $request->input('age'))
->get();
DB::table('users')->insert([
'name' => $request->input('name'),
'email' => $request->input('email'),
]);
DB::table('users')
->where('id', $request->input('id'))
->update(['name' => $request->input('name')]);
|
7.3 原生 SQL 查询
如果必须使用原生 SQL,使用参数绑定:
1
2
3
4
5
6
7
|
$users = DB::select('SELECT * FROM users WHERE name = ?', [$request->input('name')]);
$users = DB::select('SELECT * FROM users WHERE name = :name', [
'name' => $request->input('name'),
]);
|
8. 密码安全
Laravel 12 提供了安全的密码处理机制,使用强哈希算法存储密码。
8.1 密码哈希
基本用法
1
2
3
4
5
6
7
8
9
10
11
12
13
|
$hashedPassword = Hash::make($request->input('password'));
if (Hash::check($request->input('password'), $user->password)) {
}
if (Hash::needsRehash($user->password)) {
$user->password = Hash::make($request->input('password'));
$user->save();
}
|
配置哈希算法
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
return [
'default' => env('HASH_DRIVER', 'bcrypt'),
'drivers' => [
'bcrypt' => [
'rounds' => env('BCRYPT_ROUNDS', 12),
],
'argon' => [
'memory' => 65536,
'threads' => 1,
'time' => 4,
],
],
];
|
8.2 密码策略
密码强度验证
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
$request->validate([
'password' => [
'required',
'string',
'min:8',
'confirmed',
'regex:/^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{8,}$/',
],
]);
$request->validate([
'password' => ['required', 'string', 'min:8', 'confirmed', new StrongPassword],
]);
|
密码重置
Laravel 提供了内置的密码重置功能:
9. HTTPS 与安全头部
Laravel 12 支持强制使用 HTTPS 和配置安全相关的 HTTP 头部。
9.1 强制 HTTPS
配置 HTTPS
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
APP_URL=https:
public function boot()
{
if (app()->environment('production')) {
URL::forceScheme('https');
}
}
class ForceHttps
{
public function handle($request, Closure $next)
{
if (!$request->secure() && app()->environment('production')) {
return redirect()->secure($request->getRequestUri());
}
return $next($request);
}
}
protected $middleware = [
\App\Http\Middleware\ForceHttps::class,
];
|
9.2 安全头部
配置安全头部
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
|
class SecurityHeaders
{
public function handle($request, Closure $next)
{
$response = $next($request);
$response->headers->set('Strict-Transport-Security', 'max-age=31536000; includeSubDomains; preload');
$response->headers->set('X-Content-Type-Options', 'nosniff');
$response->headers->set('X-Frame-Options', 'SAMEORIGIN');
$response->headers->set('X-XSS-Protection', '1; mode=block');
$response->headers->set('Referrer-Policy', 'strict-origin-when-cross-origin');
$response->headers->set('Permissions-Policy', 'camera=(), microphone=(), geolocation=()');
return $response;
}
}
protected $middleware = [
\App\Http\Middleware\SecurityHeaders::class,
];
|
10. 速率限制与防暴力破解
Laravel 12 提供了内置的速率限制功能,防止暴力破解和 DoS 攻击。
10.1 基本速率限制
使用 throttle 中间件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
Route::middleware('throttle:60,1')->group(function () {
});
Route::middleware('throttle:60,1,user_id')->group(function () {
});
Route::middleware('throttle:60,1,ip')->group(function () {
});
|
自定义速率限制
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
public function boot()
{
parent::boot();
RateLimiter::for('login', function (Request $request) {
return Limit::perMinute(5)->by($request->input('email'));
});
RateLimiter::for('api', function (Request $request) {
return Limit::perMinute(60)->by($request->user()?->id ?: $request->ip());
});
}
Route::middleware('throttle:login')->post('/login', function () {
});
|
10.2 防暴力破解
登录尝试限制
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
public function login(Request $request)
{
$credentials = $request->validate([
'email' => 'required|email',
'password' => 'required',
]);
if (RateLimiter::tooManyAttempts('login:'.$request->input('email'), 5)) {
$seconds = RateLimiter::availableIn('login:'.$request->input('email'));
return back()->withErrors([
'email' => "登录尝试次数过多,请在 {$seconds} 秒后重试。",
]);
}
if (Auth::attempt($credentials)) {
RateLimiter::clear('login:'.$request->input('email'));
return redirect()->intended('/dashboard');
}
RateLimiter::hit('login:'.$request->input('email'));
return back()->withErrors([
'email' => '邮箱或密码错误。',
]);
}
|
11. 日志记录与监控
Laravel 12 提供了强大的日志系统,帮助记录安全事件和监控系统状态。
11.1 日志配置
配置日志通道
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
|
return [
'default' => env('LOG_CHANNEL', 'stack'),
'channels' => [
'stack' => [
'driver' => 'stack',
'channels' => ['single', 'slack'],
'ignore_exceptions' => false,
],
'single' => [
'driver' => 'single',
'path' => storage_path('logs/laravel.log'),
'level' => env('LOG_LEVEL', 'debug'),
],
'daily' => [
'driver' => 'daily',
'path' => storage_path('logs/laravel.log'),
'level' => env('LOG_LEVEL', 'debug'),
'days' => 14,
],
'slack' => [
'driver' => 'slack',
'url' => env('LOG_SLACK_WEBHOOK_URL'),
'username' => 'Laravel Log',
'emoji' => ':boom:',
'level' => env('LOG_LEVEL', 'critical'),
],
'papertrail' => [
'driver' => 'monolog',
'level' => env('LOG_LEVEL', 'debug'),
'handler' => \Monolog\Handler\SyslogUdpHandler::class,
'handler_with' => [
'host' => env('PAPERTRAIL_URL'),
'port' => env('PAPERTRAIL_PORT'),
],
],
],
];
|
11.2 安全事件日志
记录安全事件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
Log::info('用户登录', [
'user_id' => $user->id,
'email' => $user->email,
'ip' => $request->ip(),
'user_agent' => $request->userAgent(),
]);
Log::warning('登录失败', [
'email' => $request->input('email'),
'ip' => $request->ip(),
'user_agent' => $request->userAgent(),
]);
Log::error('权限错误', [
'user_id' => $user->id,
'action' => '尝试访问未授权资源',
'resource' => $request->path(),
'ip' => $request->ip(),
]);
|
监控异常
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
public function report(Throwable $exception)
{
if ($exception instanceof ModelNotFoundException) {
Log::warning('模型未找到', [
'model' => $exception->getModel(),
'id' => $exception->getIds(),
'ip' => request()->ip(),
]);
} elseif ($exception instanceof AuthenticationException) {
Log::warning('认证失败', [
'ip' => request()->ip(),
'user_agent' => request()->userAgent(),
]);
} elseif ($exception instanceof AuthorizationException) {
Log::warning('授权失败', [
'user_id' => auth()->id(),
'path' => request()->path(),
'ip' => request()->ip(),
]);
} else {
Log::error('系统异常', [
'message' => $exception->getMessage(),
'file' => $exception->getFile(),
'line' => $exception->getLine(),
'ip' => request()->ip(),
]);
}
parent::report($exception);
}
|
12. 安全审计与漏洞扫描
12.1 安全审计
使用 Laravel Security
1
2
| composer require pragmarx/laravel-security
php artisan vendor:publish --provider="PragmaRX\LaravelSecurity\Vendor\Laravel\ServiceProvider"
|
运行安全审计
1
| php artisan security:check
|
12.2 漏洞扫描
使用 PHPStan
1
2
| composer require --dev phpstan/phpstan
./vendor/bin/phpstan analyse
|
使用 Larastan
1
2
| composer require --dev nunomaduro/larastan
./vendor/bin/phpstan analyse
|
使用 Dependabot
在 GitHub 仓库中启用 Dependabot,自动检测和修复依赖漏洞。
12.3 安全最佳实践
- 定期更新依赖:使用
composer update 定期更新依赖 - 使用 HTTPS:在生产环境中强制使用 HTTPS
- 限制错误信息:在生产环境中不显示详细错误信息
- 使用环境变量:敏感信息使用环境变量存储
- 定期备份:定期备份数据库和代码
- 使用强密码策略:实施复杂的密码要求
- 启用多因素认证:为管理员账户启用 MFA
- 定期安全审计:定期进行安全审计和漏洞扫描
- 使用专业的安全工具:考虑使用专业的安全服务如 Snyk
13. 实战案例:构建安全的 Laravel 应用
13.1 项目背景
- 规模:企业级 SaaS 应用
- 用户:企业客户和管理员
- 数据:包含敏感的业务数据
- 要求:符合 GDPR 和行业安全标准
13.2 安全架构设计
1. 认证与授权
- 多层认证:普通用户、企业管理员、系统管理员
- 多因素认证:为管理员启用 MFA
- 细粒度授权:基于策略和权限的访问控制
- API 认证:使用 Sanctum 进行 API 认证
2. 数据保护
- 加密存储:敏感数据加密存储
- 数据脱敏:日志和监控中脱敏敏感信息
- 访问控制:基于角色的数据访问控制
- 审计日志:记录所有敏感操作
3. 输入验证
- 严格验证:所有输入严格验证
- 类型检查:使用类型声明和类型检查
- 数据清洗:清洗用户输入数据
- API 验证:API 请求的严格验证
4. 安全头部与 CSP
- 安全头部:配置所有安全相关的 HTTP 头部
- 内容安全策略:配置严格的 CSP
- XSS 防护:实施多层 XSS 防护
- CSRF 防护:为所有表单和 AJAX 请求添加 CSRF 令牌
5. 监控与响应
- 实时监控:监控异常登录和访问
- 告警系统:安全事件实时告警
- 应急响应:制定安全事件应急响应计划
- 定期审计:定期进行安全审计和渗透测试
13.3 实施效果
| 安全指标 | 实施前 | 实施后 | 改进 |
|---|
| 漏洞数量 | 12 | 0 | 100% |
| 安全评分 | 65/100 | 95/100 | 30% |
| 认证安全性 | 中等 | 高 | 显著 |
| 授权粒度 | 粗粒度 | 细粒度 | 显著 |
| 合规性 | 部分合规 | 完全合规 | 完全 |
14. 总结
Laravel 12 提供了全面的安全特性,从认证到授权,从输入验证到输出编码,构建了一个多层次的安全防护体系。通过合理配置和使用这些安全特性,开发者可以构建安全可靠的 Laravel 应用。
安全是一个持续的过程,不是一次性的任务。开发者应该:
- 保持警惕:定期关注安全漏洞和最佳实践
- 持续学习:学习最新的安全技术和防护措施
- 定期审计:定期进行安全审计和漏洞扫描
- 及时更新:及时更新 Laravel 和依赖包
- 安全意识:培养团队的安全意识和最佳实践
通过本文介绍的安全措施和最佳实践,开发者可以构建符合现代安全标准的 Laravel 应用,保护用户数据和系统安全,赢得用户的信任和尊重。
