3

我最近将我的项目从 Laravel 5.6 更新到 5.7,并将 Laravel 文档描述的电子邮件验证步骤添加到我的项目中。在我的开发机器(http)上一切正常,但是当我用所有更改更新生产服务器(https)时,当 laravel 向我发送带有链接(签名路由)的电子邮件时,它为我生成点击按钮或粘贴进入我的浏览器 laravel 似乎无法验证它创建的签名。副作用是每次单击按钮或将链接粘贴到浏览器中时都会出现错误:

403 抱歉,您无权访问此页面。

到目前为止,我发现我在 laravel 的 ValidateSignature.php 类中找到了代码,并添加了一些日志消息。

public function handle($request, Closure $next)
{
    Log::info('checking signature');
    if ($request->hasValidSignature()) {
        Log::info('signature is valid');
        return $next($request);
    }

    Log::info('throwing InvalidSignatureException');
    throw new InvalidSignatureException;
}

更具体地说,我在 laravel 单元 UrlGenerator.php 中跟踪了确切的问题,我在以下方法中添加了日志:

public function hasValidSignature(Request $request)
{
    $original = rtrim($request->url().'?'.Arr::query(
        Arr::except($request->query(), 'signature')
    ), '?');

    $expires = Arr::get($request->query(), 'expires');

    $signature = hash_hmac('sha256', $original, call_user_func($this->keyResolver));

    Log::info('url: '.$original);
    Log::info('expire: '.$expires);
    Log::info(' new signature: '.$signature);
    Log::info('link signature: '.$request->query('signature', ''));
    Log::info('hash equals: '.hash_equals($signature, $request->query('signature', '')));
    Log::info('expired: '.!($expires && Carbon::now()->getTimestamp() > $expires));

    return  hash_equals($signature, $request->query('signature', '')) &&
           ! ($expires && Carbon::now()->getTimestamp() > $expires);
}

当我在浏览器中单击按钮或粘贴链接并按回车键时,我收到以下日志消息:(出于明显的原因,我更改了我的真实域......不要尝试推销我的网站或其他东西)

checking signature
url: http://www.example.com/email/verify/2?expires=1538012234
expire: 1538012234
new signature: 1326b9e7402a51e0f05ddf1cb14f1e14852b4c5f0d1d6e726554806e7d85b4b1
link signature: e1d3ad5dc88faa8d8b0e6890ef60e216b75d26ef7ed5c6ab1cc661548e0ad8df
hash equals:
expired: 1
throwing InvalidSignatureException

所以我不知道这个错误是在 laravel 创建初始签名的逻辑中还是在它试图验证它的时候。但是,就像我说的那样,这一切都在我的开发机器上运行良好。我已经清除了缓存,清除了路由,更新了最新的代码,重新启动了服务器,我能想到的一切。任何帮助将不胜感激。

**** 更新 *****

我挖得更深了,缩小了问题的范围。我不敢相信我昨晚没有看到这个。如果我们仔细查看上面列出的输出日志,则一条日志消息

url: http://www.example.com/email/verify/2?expires=1538012234

向我们展示了问题。所以正如我之前所说,我的开发机器是http,但我的实时服务器是https。我今天早上看到(经过 4 小时的良好睡眠),日志向我们显示,方法 hasValidSignature() 中的逻辑以某种方式获取了使用 http 而不是 https 的路由。因此,当我返回我的电子邮件时,电子邮件中的链接是 https,如果我将 url 粘贴到我的浏览器中它有 https,并且在我的浏览器中这个逻辑返回 403 错误后,浏览器仍然显示 https。所以现在我们可以专注于我的路由/url是如何转换为http的?我在这里真的很挣扎,因为我不知道该 url 是如何处理的,因为 /email/verify 甚至没有在我的任何路由文件中列出(我知道),我不能说我明白要在下面寻找什么引擎盖也是如此,所以我真的希望在这里得到一些帮助。

这里还有我的 .env 文件中的设置:

APP_USE_HTTPS=true
APP_URL=https://www.example.com
APP_ENV=production

在 AppServiceProvider 的引导方法中,我有

public function boot()
{
    Schema::defaultStringLength(191);

    if (env('APP_USE_HTTPS'))
    {
        Log::info('forcing URLs to use https');
        \URL::forceScheme('https');
    }
4

1 回答 1

8

如果你在 apache 代理后面有一个 Laravel 应用程序,也会发生这种情况。在我们的例子中,我们有或多或少相同的 .env 配置,我们也有

URL::forceScheme('https');

在我们的 AppServiceProvider 中。

这将创建以下 url: 在签名签名时: https://..../email/verify/174?expires=1556027661 在验证签名时: http://..../email/verify/174

我们的解决方法是替换“签名”中间件:在 app/Http/Kernel.php 中使用'signed' => \App\Http\Middleware\ValidateHttpsSignature::class,然后使用以下代码创建此类:

namespace App\Http\Middleware;

use Closure;
use Illuminate\Routing\Exceptions\InvalidSignatureException;
use Illuminate\Http\Request;
use Illuminate\Support\Arr;
use Illuminate\Support\Facades\App;
use Illuminate\Support\Carbon;

class ValidateHttpsSignature
{
    var $keyResolver;

    public function __construct()
    {
        $this->keyResolver = function () {
            return App::make('config')->get('app.key');
        };
    }

    /**
     * gebaseerd op vendor/laravel/framework/src/Illuminate/Routing/Middleware/ValidateSignature.php
     * maar zorgt er voor dat een url altijd als https behandeld wordt. dit fixt het feit dat
     * laravel achter een rewrite proxy draait en urls binnenkrijgt als http.
     *
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        if ($this->hasValidSignature($request)) {
            return $next($request);
        }
        throw new InvalidSignatureException;

    }

    /**
     * Determine if the given request has a valid signature.
     * copied and modified from
     * vendor/laravel/framework/src/Illuminate/Routing/UrlGenerator.php:363
     * @param  \Illuminate\Http\Request  $request
     * @param  bool  $absolute
     * @return bool
     */
    public function hasValidSignature(Request $request, $absolute = true)
    {
        $url = $absolute ? $request->url() : '/'.$request->path();

        // THE FIX:
        $url = str_replace("http://","https://", $url);

        $original = rtrim($url.'?'.Arr::query(
                Arr::except($request->query(), 'signature')
            ), '?');

        $expires = $request->query('expires');

        $signature = hash_hmac('sha256', $original, call_user_func($this->keyResolver));

        return  hash_equals($signature, (string) $request->query('signature', '')) &&
            ! ($expires && Carbon::now()->getTimestamp() > $expires);
    }

}
于 2019-04-23T14:15:17.363 回答