Как форсировать HTTPS или HTTP для разных URL

Дата обновления перевода 2024-07-27

Как форсировать HTTPS или HTTP для разных URL

Tip

Наилучшей политикой является принудительное использование https для всех URL, что можно сделать через конфигурацию вашего веб-сервера или access_control.

Вы можете заставить части вашего сайта использовать HTTPS-протокол в конфигурации безопасности. Это делается через правила access_control, используя опцию requires_channel. Например, если вы хотите заставить все URL, начинающиеся с /secure, использовать HTTPS, то вы можете использовать следующую конфигурацию:

        1
2
3
4
5
6
7
8
9
        # config/packages/security.yaml
security:
    # ...

    access_control:
        - { path: '^/secure', roles: ROLE_ADMIN, requires_channel: https }
        - { path: '^/login', roles: PUBLIC_ACCESS, requires_channel: https }
        # поймать все другие URL
        - { path: '^/', roles: PUBLIC_ACCESS, requires_channel: https }
    

        1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
        <!-- config/packages/security.xml -->
<?xml version="1.0" encoding="UTF-8" ?>
<srv:container xmlns="http://symfony.com/schema/dic/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:srv="http://symfony.com/schema/dic/services"
    xsi:schemaLocation="http://symfony.com/schema/dic/services
        https://symfony.com/schema/dic/services/services-1.0.xsd
        http://symfony.com/schema/dic/security
        https://symfony.com/schema/dic/security/security-1.0.xsd">

    <config>
        <!-- ... -->

        <rule path="^/secure" role="ROLE_ADMIN" requires-channel="https"/>
        <rule path="^/login" role="PUBLIC_ACCESS" requires-channel="https"/>
        <rule path="^/" role="PUBLIC_ACCESS" requires-channel="https"/>
    </config>
</srv:container>
    

        1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
        // config/packages/security.php
use Symfony\Config\SecurityConfig;

return static function (SecurityConfig $security): void {
    // ....

    $security->accessControl()
        ->path('^/secure')
        ->roles(['ROLE_ADMIN'])
        ->requiresChannel('https')
    ;

    $security->accessControl()
        ->path('^/login')
        ->roles(['PUBLIC_ACCESS'])
        ->requiresChannel('https')
    ;

    $security->accessControl()
        ->path('^/')
        ->roles(['PUBLIC_ACCESS'])
        ->requiresChannel('https')
    ;
};
    

Чтобы облегчить жизнь во время разработки, вы также можете использовать переменную окружения, например, requires_channel: '%env(SECURE_SCHEME)%'. В вашем файле .env установите SECURE_SCHEME в значение http по умолчанию, но переопределите его на https в производстве.

Смотрите Как работает безопасность access_control? для более подробной информации об access_control. в целом.

Note

Альтернативным способом принудительного использования HTTP или HTTPS является использование опции схемы маршрута или группы маршрутов.

Note

Форсирование HTTPS при использовании обратного прокси или балансировщика нагрузки требует правильной конфигурации, чтобы избежать бесконечных циклов перенаправления; смотрите Как сконфигурировать Symfony, чтобы она работала за распределителем нагрузки или обратным прокси для более подробной информации.