Laravel 미들웨어를 사용하여 애플리케이션을 보호하는 방법-Laravel-php.cn

집

PHP 프레임워크

Laravel

Laravel 미들웨어를 사용하여 애플리케이션을 보호하는 방법

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Nov 03, 2023 pm 12:52 PM

laravel미들웨어보안 보호

Laravel 미들웨어를 사용하여 애플리케이션을 보호하는 방법

웹 애플리케이션이 더욱 복잡해짐에 따라 애플리케이션 보안을 보호하는 것이 점점 더 중요해지고 있습니다. Laravel의 미들웨어는 애플리케이션의 보안을 강화하면서 악의적인 공격으로부터 애플리케이션을 보호하는 간단하고 유용한 방법을 제공합니다. 이 문서에서는 Laravel에서 미들웨어를 사용하여 애플리케이션을 보호하는 방법을 설명하고 구체적인 코드 예제를 제공합니다.

미들웨어란 무엇인가요?

미들웨어는 요청과 응답 사이에서 실행되는 코드입니다. 미들웨어를 사용하면 라우터와 컨트롤러 간의 요청을 투명하게 필터링할 수 있습니다. 사용자 정의 미들웨어를 생성하고 이를 애플리케이션의 라우터 또는 컨트롤러에 연결할 수 있습니다.

미들웨어는 다음 문제를 해결하도록 설계되었습니다.

인증: 사용자가 인증되었으며 애플리케이션에 액세스할 수 있는 권한이 있는지 확인합니다.
승인: 사용자/역할이 요청된 작업을 수행할 권한이 있는지 확인합니다.
로깅: 디버깅 또는 보안 감사를 위한 요청 및 응답에 주요 정보를 기록합니다.
캐싱: 성능 향상을 위해 요청과 응답을 캐시합니다.
데이터 전송: 요청 및 응답의 데이터를 변환/형식화합니다.
보안: CSRF(교차 사이트 요청 위조), XSS(교차 사이트 스크립팅) 및 기타 보안 취약성으로부터 애플리케이션을 보호합니다.

미들웨어를 만드는 방법은 무엇입니까?

Laravel에서 미들웨어를 만드는 것은 매우 쉽습니다. 미들웨어를 생성하는 단계는 다음과 같습니다.

미들웨어 클래스 생성

먼저 미들웨어 클래스를 생성해야 합니다. Artisan 명령을 사용하여 미들웨어용 템플릿을 생성할 수 있습니다:

php artisan make:middleware MiddlewareName

미들웨어 구성

미들웨어 클래스가 생성되면 애플리케이션의 HTTP 커널에 미들웨어를 등록해야 합니다. 이 파일은 /app/Http 디렉터리에 있습니다. $middleware 배열에 미들웨어를 추가하세요.

라우터/컨트롤러에서 미들웨어 사용

마지막으로 사용자 정의 미들웨어를 애플리케이션의 라우터 또는 컨트롤러에 연결할 수 있습니다. 미들웨어 방법을 사용하여 라우터/컨트롤러에 미들웨어를 추가할 수 있습니다. 예:

Route::get('/path', 'Controller@action')
                    ->middleware('middlewareName');

이렇게 하면 요청이 컨트롤러에 도달하기 전에 먼저 미들웨어를 통과하게 됩니다.

애플리케이션 보안

미들웨어 생성 방법을 이해했으므로 이제 미들웨어를 사용하여 애플리케이션을 보호하는 방법을 살펴보겠습니다.

CSRF

CSRF 공격은 공격자가 피해자의 로그인 자격 증명(쿠키 또는 세션)을 사용하여 대신 작업을 완료하는 공격 방법을 말합니다. 검증되지 않은 요청은 쉽게 보안 취약성을 초래할 수 있습니다. 이러한 문제는 Laravel에 내장된 CSRF 보호 기능을 사용하여 쉽게 피할 수 있습니다.

애플리케이션의 HTTP 코어에서 CSRF 보호를 활성화할 수 있습니다. 일반적으로 다음과 같이 수행합니다.

// 在Http/Kernel.php文件中
class Kernel extends HttpKernel
{
    protected $middleware = [
        IlluminateFoundationHttpMiddlewareCheckForMaintenanceMode::class,
        IlluminateFoundationHttpMiddlewareValidatePostSize::class,
        AppHttpMiddlewareTrimStrings::class,
        IlluminateFoundationHttpMiddlewareConvertEmptyStringsToNull::class,
        IlluminateSessionMiddlewareStartSession::class,
        IlluminateViewMiddlewareShareErrorsFromSession::class,
        AppHttpMiddlewareVerifyCsrfToken::class,
    ];
}

교차 사이트 스크립팅(XSS)은 공격자가 피해자의 브라우저에서 악성 JavaScript 코드를 실행하는 공격입니다. 이는 정보 공개, 악성 코드 주입 및 기타 보안 취약점으로 이어질 수 있습니다. Laravel의 미들웨어는 XSS 공격으로 인한 피해를 완화하는 데 도움이 됩니다.

Laravel에서는 HtmlPurifier 또는 기타 타사 패키지를 사용하여 입력 데이터를 필터링할 수 있습니다. 예를 들면 다음과 같습니다.

//在app/Http/Middleware/HtmlPurifier.php文件中
namespace AppHttpMiddleware;

use Closure;
use HTMLPurifier;

class HtmlPurifier
{
    public function handle($request, Closure $next)
    {
        $input = $this->purify($request->input());
        $request->merge($input);
        return $next($request);
    }

    protected function purify(array $input)
    {
        $config = HTMLPurifier_Config::createDefault();
        $purifier = new HTMLPurifier($config);
        foreach ($input as $key => $value) {
            $input[$key] = $purifier->purify($value);
        }
        return $input;
    }
}

Authorization

Authorization은 사용자/역할에 요청된 작업을 수행할 권한이 있는지 확인하는 데 도움이 됩니다. Laravel의 내장된 인증 기능을 사용하면 이를 쉽게 수행할 수 있습니다.

먼저 인증 정책 클래스를 생성해야 합니다. Artisan 명령어를 사용하여 이 클래스에 대한 템플릿을 생성하세요:

php artisan make:policy PostPolicy --model=Post

이렇게 하면 애플리케이션의 /app/Policies 디렉토리에 새로운 PostPolicy 클래스가 생성됩니다.

또한 애플리케이션에서 서비스 제공업체에 인증 정책을 등록해야 합니다. 애플리케이션의 AuthServiceProvider에서 인증 정책을 정의하세요:

// 在app/Providers/AuthServiceProvider.php文件中
namespace AppProviders;

use AppPost;
use AppPoliciesPostPolicy;
use IlluminateSupportFacadesGate;
use IlluminateFoundationSupportProvidersAuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
    protected $policies = [
        Post::class => PostPolicy::class,
    ];

    // 注册策略
    public function boot()
    {
        $this->registerPolicies();
    }
}

다음으로, 사용자가 요청된 작업을 수행할 권한이 있는지 확인하기 위해 컨트롤러에서 Laravel의 인증 메소드를 사용해야 합니다. 예:

public function update(Request $request, Post $post)
{
    $this->authorize('update', $post);
    // 只有具备操作权限的用户才能看到以下内容
    return view('posts.update', [
        'post' => $post
    ]);
}

인증 후에는 인증 정책에 따라 허용된 사용자/역할만 post.update 보기를 볼 수 있습니다.

Summary

Laravel의 미들웨어는 개발자가 CSRF, XSS 및 기타 보안 취약점으로부터 애플리케이션을 빠르고 쉽게 보호할 수 있도록 도와주는 강력한 보안 도구입니다. 이 문서에서는 미들웨어를 사용하여 애플리케이션을 보호하는 방법을 보여주는 구체적인 코드 예제를 제공합니다. 애플리케이션을 보호하기 위해 미들웨어를 사용하기 시작하지 않았다면 지금이 시작할 때입니다.

위 내용은 Laravel 미들웨어를 사용하여 애플리케이션을 보호하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

풀 스택 프로젝트에서 프론트 엔드 템플릿에 Laravel Blade 사용May 01, 2025 am 12:24 AM

laravelbladeenhancesfrontendtemplatinginfull-stackprojectsbyofferingcleansyntaxandpowerfulfeatures.1) itallowsforeasyvaribledisplayandcontrolstructures.2) bladesupportscreatingAndAndErscreatingCreatingScreatingAndErsingComponents, aidingininagingComplexUis.3) iteffort handleslyous

Laravel을 사용한 전체 스택 애플리케이션 구축 : 실용적인 튜토리얼May 01, 2025 am 12:23 AM

laravelisidealforfull-stackapplicationsduetoitselegantsyntax, 포괄적 인 Cosystem 및 powerfulfeatures.1) audeeloquentormforintucive backenddatamanipulation, butavoidn 1queryisss.2) Employblatingforcleanfrontendviews, beencautiousofoversing@i

원격 역할을 유지하기 위해 어떤 종류의 도구를 사용 했습니까?May 01, 2025 am 12:21 AM

FERREMOTWORK, IUSEZOOMFORVIDEOCALLS, SLACKFORMESSIGAGIGAGING, TRELLOFORPROJECTMENAGEMENT, 및 GITHUBFORCODECOLABORATION.1) ZOOMISRELIBLEFORLARGEMEETINGSBUTHIMELIMITSONTHEFREEVERSION.2) SlackIntegrateswellwellsButcanLeadtonoTificationWovernovernovernovernovernovernodificationwordnowload

원격 액세스 및 스크린 공유 : 기술 지원을위한 거리 브리징May 01, 2025 am 12:07 AM

RemoteAccessandscreenshingshingworkSewestablishingAsecure, Real-TimeConnectionBetweNncomputerSusingProtocolslikerDP, vnc, orproprietarysolutions.bestPracticesInclude : 1) buildingtroustrhoughclearcommunication, 2) ensuringsecuritywithstrongtion-to-dat

최신 Laravel 버전으로 업그레이드하는 것을 고려할 가치가 있습니다. 1) 익명 마이그레이션과 같은 새로운 기능 및 개선은 개발 효율성 및 코드 품질을 향상시킵니다. 2) 보안 개선 및 알려진 취약점이 수정되었습니다. 3) 커뮤니티 지원이 향상되어 더 많은 자원을 제공합니다. 4) 원활한 업그레이드를 보장하기 위해 호환성을 평가해야합니다.

Laravel 로그 및 오류 모니터링 : Sentry 및 Bugsnag 통합Apr 30, 2025 pm 02:39 PM

Laravel에 Sentry와 Bugsnag를 통합하면 응용 프로그램 안정성과 성능이 향상 될 수 있습니다. 1. Composer.json에 Sentrysdk를 추가하십시오. 2. config/app.php에 센트리 서비스 제공 업체를 추가하십시오. 3. .env 파일에서 sentrydsn을 구성하십시오. 4. app \ exceptions \ handler.php에서 센트리 오류 보고서를 추가하십시오. 5. 센트리를 사용하여 예외를 잡고보고하고 추가 컨텍스트 정보를 추가하십시오. 6. app \ exceptions \ handler.php의 ugsnag 오류 보고서를 추가하십시오. 7. Bugsnag 모니터링을 사용하십시오

Laravel이 여전히 PHP 개발자에게 선호되는 프레임 워크 인 이유는 무엇입니까?Apr 30, 2025 pm 02:36 PM

Laravel은 개발 경험, 커뮤니티 지원 및 생태계에서 뛰어난 PHP 개발자에게 선호되는 프레임 워크로 남아 있습니다. 1) Eloquentorm 및 Blade Template 엔진과 같은 우아한 구문 및 풍부한 기능 세트는 개발 효율성 및 코드 가독성을 향상시킵니다. 2) 거대한 커뮤니티는 풍부한 자원과 지원을 제공합니다. 3) 학습 곡선이 가파르고 프로젝트 복잡성을 증가시킬 수 있지만 Laravel은 합리적인 구성 및 최적화를 통해 응용 프로그램 성능을 크게 향상시킬 수 있습니다.

Laravel 라이브 채팅 응용 프로그램 : WebSocket 및 PusherApr 30, 2025 pm 02:33 PM

Laravel에서 라이브 채팅 애플리케이션을 구축하려면 WebSocket 및 Pusher를 사용해야합니다. 특정 단계에는 다음이 포함됩니다. 1) .env 파일의 푸시어 정보 구성; 2) 방송 드라이버를 Broadcasting.php 파일에 Pusher로 설정합니다. 3) 푸셔 채널을 구독하고 Laravelecho를 사용한 이벤트를 듣습니다. 4) 푸셔 API를 통해 메시지를 보내십시오. 5) 개인 채널 및 사용자 인증 구현; 6) 성능 최적화 및 디버깅을 수행하십시오.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

뜨거운 도구

DVWA

DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는