在建立現(xiàn)代應(yīng)用程式時(shí)，Laravel 脫穎而出，成為 Web 開發(fā)的流行選擇。憑藉其龐大的生態(tài)系統(tǒng)，Laravel Reverb 等工具有助於增強(qiáng)開發(fā)人員體驗(yàn)，從而更輕鬆地管理後端流程。然而，與任何工具一樣，安全性必須是首要任務(wù)。

我將嘗試探索關(guān)鍵實(shí)踐和可行步驟來保護(hù) Laravel Reverb 並確保您的實(shí)現(xiàn)免受潛在漏洞的影響。

1.了解 Laravel Reverb 的作用

Laravel Reverb 充當(dāng)訊息代理和事件管理器，促進(jìn)服務(wù)之間的通訊。預(yù)設(shè)情況下，它與 Laravel 的佇列和事件系統(tǒng)深度整合。然而，由於它涉及即時(shí)資料處理，錯(cuò)誤配置可能會(huì)使敏感操作遭受攻擊。

潛在風(fēng)險(xiǎn)

• 未經(jīng)授權(quán)存取排隊(duì)事件。
• 操作事件資料。
• 端點(diǎn)過度曝光。

2.保護(hù)您的隊(duì)列配置

Laravel Reverb 依賴佇列驅(qū)動(dòng)程式。配置錯(cuò)誤的佇列系統(tǒng)可能會(huì)導(dǎo)致漏洞。

環(huán)境特定驅(qū)動(dòng)程式：為 Redis 等生產(chǎn)環(huán)境使用安全驅(qū)動(dòng)程式。避免在生產(chǎn)中使用資料庫或同步。這些驅(qū)動(dòng)程式可能會(huì)帶來效能和安全性問題。資料庫驅(qū)動(dòng)程式會(huì)增加大量資料庫負(fù)載，使其容易受到 DoS 攻擊，並且如果資料庫受到損害，可能會(huì)暴露敏感作業(yè)資料。同步驅(qū)動(dòng)程式同步執(zhí)行作業(yè)，增加了因錯(cuò)誤而暴露敏感資訊的風(fēng)險(xiǎn)，並造成攻擊者可利用的瓶頸來使應(yīng)用程式過載。

QUEUE_CONNECTION=redis

Redis 驗(yàn)證： 對(duì) Redis 連線使用強(qiáng)密碼。

REDIS_PASSWORD=your_secure_password

TLS 加密： 如果遠(yuǎn)端使用基於雲(yún)端的佇列，請(qǐng)啟用 TLS 以實(shí)現(xiàn)安全通訊。當(dāng) Redis 或其他佇列驅(qū)動(dòng)程式託管在外部時(shí)，這一點(diǎn)尤其重要。對(duì)於安全網(wǎng)路上的內(nèi)部託管佇列，可能不需要 TLS。

3.驗(yàn)證事件數(shù)據(jù)

始終驗(yàn)證事件和偵聽器之間傳遞的資料。 Laravel 提供了驗(yàn)證工具，應(yīng)在事件調(diào)度和監(jiān)聽階段應(yīng)用。

範(fàn)例：

use Illuminate\Support\Facades\Validator;

class SecureEvent
{
    public function __construct(array $data)
    {
        Validator::make($data, [
            'user_id' => 'required|integer',
            'action'  => 'required|string|max:255',
        ])->validate();

        $this->data = $data;
    }
}

4.安全 API 端點(diǎn)

Laravel Reverb 經(jīng)常公開用於管理事件和佇列的 API 端點(diǎn)。限制對(duì)這些端點(diǎn)的存取。

範(fàn)例：

中介軟體保護(hù)：使用驗(yàn)證和授權(quán)中間件。

Route::middleware(['auth:sanctum', 'verified'])->group(function () {
    Route::post('/reverb/dispatch', [ReverbController::class, 'dispatch']);
});

速率限制：透過限制 API 請(qǐng)求來防止濫用。

QUEUE_CONNECTION=redis

5.安全通道配置

Laravel Reverb 頻道決定事件的廣播方式以及誰可以存取它們。配置錯(cuò)誤的通道可能會(huì)暴露敏感資料或允許未經(jīng)授權(quán)的存取。

公共頻道：

任何知道頻道名稱的人都可以存取公共頻道。避免使用公共管道獲取敏感資訊。

範(fàn)例：

REDIS_PASSWORD=your_secure_password

僅將公共管道用於非敏感數(shù)據(jù)，例如通知或一般更新。

私人頻道：

私人頻道在加入前需要身份驗(yàn)證。將它們用於與經(jīng)過身份驗(yàn)證的使用者相關(guān)的事件。

範(fàn)例：

use Illuminate\Support\Facades\Validator;

class SecureEvent
{
    public function __construct(array $data)
    {
        Validator::make($data, [
            'user_id' => 'required|integer',
            'action'  => 'required|string|max:255',
        ])->validate();

        $this->data = $data;
    }
}

存在頻道：

線上通道透過允許伺服器即時(shí)追蹤哪些用戶在線上來擴(kuò)展私人通道。實(shí)施嚴(yán)格的身份驗(yàn)證，防止未經(jīng)授權(quán)的存取。

範(fàn)例：

Route::middleware(['auth:sanctum', 'verified'])->group(function () {
    Route::post('/reverb/dispatch', [ReverbController::class, 'dispatch']);
});

6.隊(duì)列儲(chǔ)存過載

當(dāng)一次新增太多作業(yè)時(shí)會(huì)發(fā)生佇列過載，從而導(dǎo)致延遲。使用 Laravel 的 ThrottlesExceptions 中間件來限製作業(yè)處理（例如 5 個(gè)作業(yè)/秒）並使用 Supervisor 等工具管理工作人員以確保系統(tǒng)穩(wěn)定性。

Route::middleware('throttle:60,1')->group(function () {
    Route::post('/reverb/dispatch', [ReverbController::class, 'dispatch']);
});

7.事件重播攻擊

重播攻擊重新發(fā)送攔截的事件以利用您的系統(tǒng)。為事件新增唯一的 ID 和時(shí)間戳，在用戶端和伺服器上驗(yàn)證它們以防止重複並確保僅處理新事件。

實(shí)作唯一令牌：

Broadcast::channel('public-channel', function () {
    return true;  
});

透過在客戶端追蹤 uniqueId 來防止重複處理相同事件：

Broadcast::channel('private-channel.{userPublicId}', function ($user, $userPublicId) {
    return $user->public_id === $userPublicId && auth()->check(); // Ensure Public ID matches and user is authenticated
});

使用中間件確保事件時(shí)間戳記是最近的：

Broadcast::channel('presence-channel.{roomId}', function ($user, $roomId) {
    return $user->isInRoom($roomId); // Validate room access
});

8.安全後??端 SSL 連接

即使您使用 Cloudflare 等服務(wù)作為代理來處理邊緣的 SSL，在伺服器上的 VirtualHost 中配置 SSL 也很重要。這可確保端對(duì)端加密並降低潛在風(fēng)險(xiǎn)。

實(shí)作：

1。安裝Certbot並取得證書：

namespace App\Jobs;

use Log;
use Illuminate\Bus\Queueable;
use Illuminate\Queue\Middleware\ThrottlesExceptions;
use Illuminate\Contracts\Queue\ShouldQueue;

class ProcessNotification implements ShouldQueue
{
    use Queueable;

    public function middleware()
    {
        // Throttle: Allow max 5 jobs per second for this queue
        return [new ThrottlesExceptions(5, 1)];
    }

    public function handle()
    {
        // Logic to process the notification
        Log::info('Processing notification');
    }
}

2。更新您的虛擬主機(jī)以使用 SSL：

namespace App\Events;

use Illuminate\Broadcasting\InteractsWithSockets;
use Illuminate\Contracts\Broadcasting\ShouldBroadcast;
use Illuminate\Foundation\Events\Dispatchable;
use Illuminate\Support\Str;

class ChatMessageSent implements ShouldBroadcast
{
    use Dispatchable, InteractsWithSockets;

    public string $message;
    public string $uniqueId; // Prevent replay attacks
    public int $timestamp;

    public function __construct(string $message)
    {
        $this->message = $message;
        $this->uniqueId = Str::uuid();
        $this->timestamp = time();
    }

    public function broadcastWith()
    {
        return [
            'message' => $this->message,
            'uniqueId' => $this->uniqueId,
            'timestamp' => $this->timestamp,
        ];
    }

    public function broadcastOn()
    {
        return ['chat-room'];
    }
}

3。在 Cloudflare 中啟用完整（嚴(yán)格）SSL 模式。

9.所有通訊均使用 HTTPS

為了確保 Reverb 與客戶端或伺服器之間的安全通信，請(qǐng)使用 HTTPS。更新以下環(huán)境變量，特別關(guān)注設(shè)定 REVERB_SCHEME 和 REVERB_PORT 以確保使用 HTTPS 協(xié)定和安全連接埠 443：

const processedEvents = new Set();

Echo.channel('chat-room')
    .listen('ChatMessageSent', (event) => {
        if (!processedEvents.has(event.uniqueId)) {
            processedEvents.add(event.uniqueId);
            console.log('New message:', event.message);
        }
    });

以上是保護(hù) Laravel Reverb 的安全的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！