Cara menggunakan perisian tengah Laravel untuk melindungi aplikasi anda

Apabila aplikasi web menjadi lebih kompleks, melindungi keselamatan aplikasi anda menjadi lebih penting. Middleware dalam Laravel menyediakan cara yang mudah dan berguna untuk melindungi aplikasi anda daripada serangan berniat jahat sambil meningkatkan keselamatan aplikasi anda. Artikel ini menerangkan cara menggunakan perisian tengah dalam Laravel untuk melindungi aplikasi anda dan menyediakan contoh kod khusus.

Apakah itu middleware?

Middleware ialah kod yang melaksanakan antara permintaan dan respons. Middleware membolehkan anda menapis permintaan secara telus antara penghala dan pengawal. Anda boleh mencipta perisian tengah tersuai dan memautkannya ke penghala atau pengawal aplikasi anda.

Middleware direka untuk menyelesaikan masalah berikut:

• Pengesahan: Pastikan pengguna disahkan dan mempunyai kebenaran untuk mengakses aplikasi.
• Keizinan: Tentukan sama ada pengguna/peranan diberi kuasa untuk melakukan tindakan yang diminta.
• Logging: Rekod maklumat penting daripada permintaan dan respons untuk penyahpepijatan atau pengauditan keselamatan.
• Caching: Cache permintaan dan respons untuk meningkatkan prestasi.
• Pemindahan data: Tukar/format data permintaan dan respons.
• Keselamatan: Pastikan aplikasi dilindungi daripada Pemalsuan Permintaan Merentas Tapak (CSRF), Skrip Silang Tapak (XSS) dan kelemahan keselamatan yang lain.

Bagaimana untuk mencipta perisian tengah?

Mencipta perisian tengah dalam Laravel adalah sangat mudah. Berikut ialah langkah-langkah untuk mencipta middleware:

1. Cipta kelas middleware

Pertama, anda perlu mencipta kelas middleware. Anda boleh menggunakan arahan Artisan untuk mencipta templat untuk middleware:

php artisan make:middleware MiddlewareName

2. Konfigurasi Middleware

Setelah kelas middleware dicipta, anda perlu mendaftarkan middleware dalam kernel HTTP aplikasi anda. Fail ini terletak dalam direktori /app/Http. Tambahkan middleware anda pada tatasusunan $middleware.

3. Menggunakan Middleware dalam Penghala/Pengawal

Akhir sekali, anda boleh melampirkan perisian tengah tersuai anda pada penghala atau pengawal aplikasi anda. Anda boleh menggunakan kaedah middleware untuk menambah middleware pada penghala/pengawal anda. Contohnya:

Route::get('/path', 'Controller@action')
                    ->middleware('middlewareName');

Ini akan membuat permintaan melalui perisian tengah terlebih dahulu sebelum mencapai pengawal.

Melindungi Aplikasi Anda

Sekarang kita memahami cara mencipta perisian tengah, mari kita terokai cara menggunakannya untuk melindungi aplikasi anda.

1. CSRF

Serangan CSRF merujuk kepada kaedah serangan di mana penyerang menggunakan bukti kelayakan log masuk mangsa (kuki atau sesi) untuk menyelesaikan operasi bagi pihaknya. Permintaan yang tidak sah boleh membawa kepada kelemahan keselamatan dengan mudah. Masalah ini boleh dielakkan dengan mudah menggunakan perlindungan CSRF terbina dalam Laravel.

Dalam aplikasi anda, anda boleh mendayakan perlindungan CSRF dalam teras HTTP aplikasi. Anda biasanya akan melakukan ini:

// 在Http/Kernel.php文件中
class Kernel extends HttpKernel
{
    protected $middleware = [
        IlluminateFoundationHttpMiddlewareCheckForMaintenanceMode::class,
        IlluminateFoundationHttpMiddlewareValidatePostSize::class,
        AppHttpMiddlewareTrimStrings::class,
        IlluminateFoundationHttpMiddlewareConvertEmptyStringsToNull::class,
        IlluminateSessionMiddlewareStartSession::class,
        IlluminateViewMiddlewareShareErrorsFromSession::class,
        AppHttpMiddlewareVerifyCsrfToken::class,
    ];
}

2. XSS

Skrip merentas tapak (XSS) ialah serangan di mana penyerang melaksanakan kod JavaScript berniat jahat pada penyemak imbas mangsa. Ini boleh membawa kepada pendedahan maklumat, suntikan kod hasad dan kelemahan keselamatan yang lain. Middleware dalam Laravel boleh membantu anda mengurangkan kerosakan yang disebabkan oleh serangan XSS.

Dalam Laravel, anda boleh menggunakan HtmlPurifier atau pakej pihak ketiga yang lain untuk menapis data input anda. Berikut ialah contoh:

//在app/Http/Middleware/HtmlPurifier.php文件中
namespace AppHttpMiddleware;

use Closure;
use HTMLPurifier;

class HtmlPurifier
{
    public function handle($request, Closure $next)
    {
        $input = $this->purify($request->input());
        $request->merge($input);
        return $next($request);
    }

    protected function purify(array $input)
    {
        $config = HTMLPurifier_Config::createDefault();
        $purifier = new HTMLPurifier($config);
        foreach ($input as $key => $value) {
            $input[$key] = $purifier->purify($value);
        }
        return $input;
    }
}

3. Keizinan

Keizinan boleh membantu anda menentukan sama ada pengguna/peranan mempunyai kebenaran untuk melaksanakan tindakan yang diminta. Keizinan terbina dalam Laravel memudahkan perkara ini.

Pertama, anda perlu membuat kelas dasar kebenaran. Gunakan perintah Artisan untuk menjana templat untuk kelas ini:

php artisan make:policy PostPolicy --model=Post

Ini akan mencipta kelas PostPolicy baharu dalam direktori /app/Policies aplikasi anda.

Anda juga perlu mendaftar polisi kebenaran dengan pembekal perkhidmatan dalam permohonan anda. Tentukan dasar kebenaran dalam AuthServiceProvider aplikasi anda:

// 在app/Providers/AuthServiceProvider.php文件中
namespace AppProviders;

use AppPost;
use AppPoliciesPostPolicy;
use IlluminateSupportFacadesGate;
use IlluminateFoundationSupportProvidersAuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
    protected $policies = [
        Post::class => PostPolicy::class,
    ];

    // 注册策略
    public function boot()
    {
        $this->registerPolicies();
    }
}

Seterusnya, anda perlu menggunakan kaedah kebenaran Laravel dalam pengawal anda untuk mengesahkan bahawa pengguna mempunyai kebenaran untuk melakukan tindakan yang diminta. Contohnya:

public function update(Request $request, Post $post)
{
    $this->authorize('update', $post);
    // 只有具备操作权限的用户才能看到以下内容
    return view('posts.update', [
        'post' => $post
    ]);
}

Selepas kebenaran, hanya pengguna/peranan yang dibenarkan oleh dasar kebenaran boleh melihat paparan posts.update.

Ringkasan

Middleware dalam Laravel ialah alat keselamatan yang berkuasa yang boleh membantu pembangun dengan cepat dan mudah melindungi aplikasi daripada CSRF, XSS dan kelemahan keselamatan yang lain. Artikel ini menyediakan contoh kod konkrit untuk menunjukkan cara menggunakan perisian tengah untuk melindungi aplikasi anda. Jika anda belum mula menggunakan perisian tengah untuk melindungi aplikasi anda, sekarang adalah masa untuk bermula.

Atas ialah kandungan terperinci Cara menggunakan perisian tengah Laravel untuk melindungi aplikasi anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!