Laravel如何为应用配置HTTPS/SSL

首先在服务器层配置SSL证书，再通过Laravel设置确保正确识别HTTPS请求。1. 获取SSL证书并安装至服务器指定目录；2. 配置Nginx启用HTTPS及HTTP自动跳转，包括ssl_certificate和ssl_certificate_key路径、安全协议与加密套件，并设置HTTP 301重定向到HTTPS；3. 修改Laravel的.env文件中APP_URL为https://域名，同时在app/Http/Middleware/TrustProxies.php中设置$proxies = '*'和$headers = Request::HEADER_X_FORWARDED_ALL，使应用信任反向代理头信息；4. 可选强制HTTPS访问，在中间件中判断X-Forwarded-Proto头是否为https，非HTTPS时重定向。完成上述步骤后，Laravel生成的链接如url()、route()等将自动使用HTTPS。关键点在于服务器SSL配置与Laravel对代理头的信任设置。

在 Laravel 应用中启用 HTTPS/SSL，主要是通过服务器层（如 Nginx 或 Apache）配置 SSL 证书，并让 Laravel 正确识别加密请求。Laravel 本身不直接处理 SSL，但可以通过配置确保生成的链接、重定向等使用 HTTPS。以下是具体步骤：

1. 获取并安装 SSL 证书

你需要从可信机构获取 SSL 证书，常见方式包括：

• Let's Encrypt：免费证书，推荐使用 Certbot 自动申请和续期。
• 购买商业证书：从 DigiCert、GlobalSign 等机构购买。
• 本地开发可用自签名证书：仅用于测试，浏览器会提示不安全。

将证书文件（通常是 .crt 和 .key 文件）保存在服务器指定目录，例如：/etc/ssl/certs/your-domain.crt 和 /etc/ssl/private/your-domain.key。

2. 配置 Web 服务器启用 HTTPS

编辑 Nginx 配置（通常位于 /etc/nginx/sites-available/your-site）：

server {
    listen 443 ssl http2;
    server_name yourdomain.com;
<pre class='brush:php;toolbar:false;'>ssl_certificate /etc/ssl/certs/your-domain.crt;
ssl_certificate_key /etc/ssl/private/your-domain.key;

# 推荐的 SSL 安全配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;

root /var/www/your-laravel-app/public;
index index.php;

location / {
    try_files $uri $uri/ /index.php?$query_string;
}

# PHP 处理
location ~ \.php$ {
    fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
}

}

同时可配置 HTTP 到 HTTPS 的自动跳转：

server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$host$request_uri;
}

保存后测试配置并重启 Nginx：

sudo nginx -t
sudo systemctl reload nginx

3. 配置 Laravel 支持 HTTPS

Laravel 需要正确识别请求是否为 HTTPS，尤其是在负载均衡或反向代理后端时。确保以下设置：

AppMall应用商店

AI应用商店，提供即时交付、按需付费的人工智能应用服务

56

查看详情

• 设置 App URL 为 HTTPS：修改 .env 文件：

APP_URL=https://yourdomain.com

• 启用信任代理（TrustProxies）：如果你使用了反向代理（如 Nginx、Cloudflare），需让 Laravel 信任这些代理头信息。

打开 app/Http/Middleware/TrustProxies.php，设置：

protected $proxies = '*'; // 或指定具体 IP
protected $headers = Request::HEADER_X_FORWARDED_ALL;

这样 Laravel 才能正确读取 X-Forwarded-Proto 头，判断是否为 HTTPS 请求。

4. 强制应用使用 HTTPS（可选）

你可以在中间件中强制重定向 HTTP 请求到 HTTPS。创建中间件或使用内置机制：

在 App\Http\Middleware\HandleCors.php 或单独的中间件中添加：

if ($request->header('X-Forwarded-Proto') !== 'https' && app()->environment('production')) {
    return redirect()->secure($request->getRequestUri());
}

或将此逻辑放在全局中间件栈中，确保所有请求都检查协议。

基本上就这些。只要服务器配置好 SSL，Laravel 能正确识别加密请求，应用中的 url()、route()、secure_asset() 等函数就会自动生成 HTTPS 链接。不复杂但容易忽略的是代理头的信任配置。

以上就是Laravel如何为应用配置HTTPS/SSL的详细内容，更多请关注php中文网其它相关文章！