首先在服务器层配置SSL证书,再通过Laravel设置确保正确识别HTTPS请求。1. 获取SSL证书并安装至服务器指定目录;2. 配置Nginx启用HTTPS及HTTP自动跳转,包括ssl_certificate和ssl_certificate_key路径、安全协议与加密套件,并设置HTTP 301重定向到HTTPS;3. 修改Laravel的.env文件中APP_URL为https://域名,同时在app/Http/Middleware/TrustProxies.php中设置$proxies = '*'和$headers = Request::HEADER_X_FORWARDED_ALL,使应用信任反向代理头信息;4. 可选强制HTTPS访问,在中间件中判断X-Forwarded-Proto头是否为https,非HTTPS时重定向。完成上述步骤后,Laravel生成的链接如url()、route()等将自动使用HTTPS。关键点在于服务器SSL配置与Laravel对代理头的信任设置。
在 Laravel 应用中启用 HTTPS/SSL,主要是通过服务器层(如 Nginx 或 Apache)配置 SSL 证书,并让 Laravel 正确识别加密请求。Laravel 本身不直接处理 SSL,但可以通过配置确保生成的链接、重定向等使用 HTTPS。以下是具体步骤:
1. 获取并安装 SSL 证书
你需要从可信机构获取 SSL 证书,常见方式包括:
- Let's Encrypt:免费证书,推荐使用 Certbot 自动申请和续期。
- 购买商业证书:从 DigiCert、GlobalSign 等机构购买。
- 本地开发可用自签名证书:仅用于测试,浏览器会提示不安全。
将证书文件(通常是 .crt 和 .key 文件)保存在服务器指定目录,例如:/etc/ssl/certs/your-domain.crt 和 /etc/ssl/private/your-domain.key。
2. 配置 Web 服务器启用 HTTPS
以 Nginx 为例,修改站点配置文件:编辑 Nginx 配置(通常位于 /etc/nginx/sites-available/your-site):
server {
listen 443 ssl http2;
server_name yourdomain.com;
<pre class='brush:php;toolbar:false;'>ssl_certificate /etc/ssl/certs/your-domain.crt;
ssl_certificate_key /etc/ssl/private/your-domain.key;
# 推荐的 SSL 安全配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
root /var/www/your-laravel-app/public;
index index.php;
location / {
try_files $uri $uri/ /index.php?$query_string;
}
# PHP 处理
location ~ \.php$ {
fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}}
同时可配置 HTTP 到 HTTPS 的自动跳转:
server {
listen 80;
server_name yourdomain.com;
return 301 https://$host$request_uri;
}
保存后测试配置并重启 Nginx:
sudo nginx -t sudo systemctl reload nginx
3. 配置 Laravel 支持 HTTPS
Laravel 需要正确识别请求是否为 HTTPS,尤其是在负载均衡或反向代理后端时。确保以下设置:
-
设置 App URL 为 HTTPS:修改
.env文件:
APP_URL=https://yourdomain.com
- 启用信任代理(TrustProxies):如果你使用了反向代理(如 Nginx、Cloudflare),需让 Laravel 信任这些代理头信息。
打开 app/Http/Middleware/TrustProxies.php,设置:
protected $proxies = '*'; // 或指定具体 IP protected $headers = Request::HEADER_X_FORWARDED_ALL;
这样 Laravel 才能正确读取 X-Forwarded-Proto 头,判断是否为 HTTPS 请求。
4. 强制应用使用 HTTPS(可选)
你可以在中间件中强制重定向 HTTP 请求到 HTTPS。创建中间件或使用内置机制:
在 App\Http\Middleware\HandleCors.php 或单独的中间件中添加:
if ($request->header('X-Forwarded-Proto') !== 'https' && app()->environment('production')) {
return redirect()->secure($request->getRequestUri());
}
或将此逻辑放在全局中间件栈中,确保所有请求都检查协议。
基本上就这些。只要服务器配置好 SSL,Laravel 能正确识别加密请求,应用中的 url()、route()、secure_asset() 等函数就会自动生成 HTTPS 链接。不复杂但容易忽略的是代理头的信任配置。
