必须由 Web 服务器终止 httpS 并设置 X-Forwarded-Proto 头,laravel 通过 TrustProxies 中间件信任对应代理 IP 后,才能正确生成 https 链接、判断安全请求;app_URL 必须设为 https://,且本地开发需隔离配置。
直接在 Laravel 中配置 HTTPS 访问,不能只靠应用层「强制跳转」,否则会丢请求头、触发循环重定向、或让 API 请求异常。真正可靠的方式是:由 Web 服务器(nginx / apache)终止 HTTPS,并通过可信代理头告知 Laravel 当前是 HTTPS 请求;Laravel 再据此生成正确 URL 和重定向逻辑。
Web 服务器必须设置 X-Forwarded-Proto
这是整个方案的前提。Laravel 默认不信任任何代理头,如果你用 Nginx 反代 HTTPS 流量但没传 X-Forwarded-Proto,url()、route() 仍会生成 http:// 链接,Request::secure() 也返回 false。
常见错误现象:redirect()->route('home') 跳到 http:// 地址,登录后回跳失败;邮件中的链接是 http;API 返回的资源 URL 不可用。
实操建议:
- Nginx 配置中,在 proxy_pass 块里加上:
proxy_set_header X-Forwarded-Proto $scheme; - 如果用 Cloudflare、AWS ALB 等,它们默认已设该头,但需确认未被中间层覆盖
- Apache 用户需启用
mod_headers,并在 VirtualHost 中加:RequestHeader set X-Forwarded-Proto "https" env=HTTPS
AppServiceProvider 中启用 Trusted Proxies
Laravel 必须明确知道哪些 IP 是可信反代,否则会忽略 X-Forwarded-Proto。从 Laravel 5.5+ 开始,AppHttpMiddlewareTrustProxies 是默认启用的中间件,但它的 $proxies 默认是 '*' —— 这在生产环境不安全,且某些云环境(如 Forge + Nginx)下会导致 Request::ip() 失效。
实操建议:
- 在
app/Http/Middleware/TrustProxies.php中,将$proxies设为具体 IP 段,例如:protected $proxies = ['127.0.0.1', '10.0.0.0/8']; - 若部署在 AWS EC2 + ALB,填 ALB 的私有 IP 段(如
10.0.0.0/16);用 Forge 时通常只需127.0.0.1 - 同时确认
$headers包含IlluminateHttpRequest::HEADER_X_FORWARDED_PROTO(默认已有)
不要在中间件里用 redirect()->secure()
有人写一个中间件,对非 HTTPS 请求执行 redirect()->secure(),这看似简单,实则危险:它会在每次请求都做 301/302 跳转,无法区分静态资源、API 或 CLI 调用;且当代理头未正确设置时,会陷入无限跳转(ERR_TOO_MANY_redIRECTS)。
实操建议:
- 完全避免手写
redirect()->secure()类逻辑 - 如果必须在应用层控制(极少数遗留架构),至少加条件:
if (!$request->secure() && !$request->ajax() && 'GET' === $request->method()) - 更推荐的做法:把 HTTPS 强制逻辑交给 Nginx,例如在 server 块中加:
return 301 https://$host$request_uri;
APP_URL 必须设为 https://
.env 中的 APP_URL 直接影响 url()、邮件模板、Passport 重定向 URI、Nova 后台链接等。设成 http:// 会导致所有生成链接错误,且无法被中间件修复。
实操建议:
- 上线前务必检查:
APP_URL=https://yourdomain.com - 多环境部署时,不要在代码中硬编码 URL,而是依赖
APP_URL+config/app.php中的url配置 - 使用 Envoyer、Forge 或 docker 时,确保部署脚本或容器启动时正确注入 HTTPS 版
APP_URL
最常被忽略的一点:本地开发用 Valet 或 Sail 时,APP_URL 和代理信任配置要和线上分离,否则本地 php artisan serve 会因误信 X-Forwarded-Proto 导致 URL 错乱。别图省事全局开 '*' 代理信任。