app_url设为https仍跳http,因laravel不主动重定向,仅用其生成url;真实协议由web服务器决定,需正确透传x-forwarded-proto头并配置trustproxies中间件。
为什么 APP_URL 设成 https 还是跳 HTTP?
因为 Laravel 本身不主动判断或重定向协议,APP_URL 只影响生成 URL(如 url()、route()),不影响请求入口。真实协议由 Web 服务器(nginx/apache)或负载均衡器决定,Laravel 默认信任它传来的 $_SERVER['HTTPS'] 或 $_SERVER['HTTP_X_FORWARDED_PROTO'] —— 如果这些值没设对,Laravel 就不知道当前是 HTTPS。
- 常见错误现象:
url('api/test')返回http://...,即使APP_URL=https://example.com - 根本原因:Web 服务器没把 HTTPS 状态透传给 PHP;或用了反向代理但没配
TrustedProxy - 检查方法:在路由里加
dd(request()->secure(), $_SERVER['HTTPS'] ?? NULL, $_SERVER['HTTP_X_FORWARDED_PROTO'] ?? null)
Laravel 7+ 怎么正确配置可信代理(TrustProxies)
这是强制跳转 HTTPS 的前提。不配这个,request()->secure() 永远返回 false,所有基于它的逻辑(包括重定向中间件)都会失效。
- 确认已发布配置:
php artisan vendor:publish --provider="FideloperProxyTrustedProxyServiceProvider" - 编辑
app/Http/Middleware/TrustProxies.php,设置$proxies和$headers:
protected $proxies = '*'; // 或具体 IP 段,如 '192.168.1.0/24' protected $headers = Request::HEADER_X_FORWARDED_ALL;X-Forwarded-Proto: https;否则 Laravel 收不到信号用中间件强制跳转 HTTPS(不依赖 .htaccess 或 Nginx)
适合开发环境测试、或无法修改 Web 服务器配置的场景。但注意:它是在 PHP 层做的 301 跳转,多一次请求,性能略差,且不能替代 Web 层的 HTTPS 终止。
- 创建中间件:
php artisan make:middleware ForceHttps - 在
handle()中写:
if (!$request->secure() && app()->environment('production')) { return redirect()->secure($request->getRequestUri()); }$middlewareGroups['web'] 顶部(避免被其他中间件拦截)APP_ENV=local),否则会无限跳转,因为 localhost 没有有效证书Nginx/Apache 上更靠谱的做法是什么?
PHP 层跳转是兜底方案,真正该做的是在 Web 服务器层终止 HTTPS 并透传协议头。这样既快又稳,还能避免 Laravel 误判。
- Nginx 示例(在 server 块里):
if ($scheme != "https") { return 301 https://$server_name$request_uri; } # 同时确保 proxy_set_header X-Forwarded-Proto $scheme;mod_rewrite,在 .htaccess 或虚拟主机中加:RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]X-Forwarded-Proto 正确传给 PHP,否则 TrustProxies 白配最容易被忽略的是代理链中某一级没透传 X-Forwarded-Proto —— 比如 Nginx 前面还有一层 CDN 或 WAF,它没设置这个头,Laravel 就永远收不到 HTTPS 信号。