Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

Nuxt'tan gelen isteğin Laravel tarafında sunucu ip kısıtlaması

byhk44

Merhabalar,

Laravel apisini yalnızca belirli ip adreslerini kullanan sunucular ile kısıtlamak istiyorum. Bir şekilde çözüme ulaşamadım. Middleware'da

$request->server('SERVER_ADDR'); $request->server('REMOTE_ADDR'); $request->ip()

denedim fakat istek yapan bilgisayarın ip sini alıyor. Bununla ilgili çözümü olan var mı?

Kurumsal bir web sitenin apiye erişimini yalnızca aynı sunucudan yaptırmak istiyorum dışarıdan bir erişime ihtiyaç olmadığı için en net güvenlik önlemi bu gibi geldi bana

Bu arada ilk defa Nuxt uygulamasını yayına alıyorum daha önce api yazmadığım için güvenliğinin cors dışında nasıl sağlanması gerektiği konusunda pek bilgi sahibi değilim.

herkese iyi çalışmalar.

mgsmus

byhk44 Ne yapmaya çalıştığınızı anlamadım.

byhk44

aeneas

mgsmus

Laravel ile geliştirdiğim bir api projesi var.

Nuxt ile ön yüzünü hazırladım.

Laravelin apisine dışarıdan erişim olmaması için yalnızca nuxt ın kurulu olduğu sunucunun ip adresinden gelen isteklere cevap verilsin istiyorum. Bunun dışındaki istekler yetkisiz işlem olup middleware da takılacak.

aeneas

aradığınız şey $SERVER['REMOTE_ADDR'] ve $request->server('SERVER_ADDR'); bu şekilde alamassınız çünkü $SERVER['REMOTE_ADDR']php kodudur laravel değil. Aalmak için bir değişkene atamalısınız $sunucuip = $SERVER['REMOTE_ADDR']; gibi. Bu size istek yapılan sunucu ip sini verecektir.
$SERVER['SERVER_ADDR'] ise laravelin çalıştıgı sunucu ip adresini verir basit bir middware oluşturup $SERVER['SERVER_ADDR'] != $SERVER['REMOTE_ADDR'] bir yaklaşımda buluna bilirsiniz.

mgsmus

byhk44 Eğer auth yoksa bunu yapabileceğinizi sanmıyorum çünkü öyle bir şey olsaydı tüm uygulamalarda kullanılırdı. Tarayıcıda yapacağınız hiçbir işlem de bunu engellemez çünkü bir kere yapıldı mı herhangi bir http client tarafından taklit edilebilir.

byhk44

mgsmus Teşekkür ederim peki api rotalarının güvenliğini sağlamak için aklınıza ilk gelen neler yapılabilir?

Header ile iletilecek şifreler koymak aklıma geliyor ama tarayıcıdan okunma ihtimali var. Nuxt ve laravel arasındaki trafiğin güvenliğini nasıl sağlayabilirim internettede araştırma yapıyorum sizede sormak istedim eğer müsaitseniz

yani dışarıdan birisi site.com/api/category/1 gibi bir rotaya ulaşamaması için bu tarz projelerde neler yapılıyor

mgsmus

byhk44 Eğer machine-to-machine dediğimiz iki sunucunun haberleşmesi olsaydı o zaman ip koruması koyabilirdiniz. Tarayıcı/frontend sizin sunucu değil kullanıcının http istemcisi. Sadece benim frontendim istek atsın diye bir şey söz konusu değil, o sizin kullanıcının tarayıcısı için yazdığınız bir arayüz. Auth ile rotaları korursunuz, o da istek sonuçta, sadece işlemi ilerletmesine engel olmuş olursunuz.

Yani engelleyemezsiniz ama önlem olarak yapabilecekleriniz şöyle:

Auth ve rate-limit
Uygulamanız yurt dışına hizmet vermiyorsa Türkiye dışından gelen ipleri engelleme. Bir nebze saldırıları azaltacaktır.
CloudFlare gibi servisler kullanmak.
Kong gibi API gateway servisleri kullanmak.
Verilere erişmekte kullandığınız tabloda oluşan integer primary keyler yerine uuid, ulid vs kullanma ya da hash kullanmak.
Query string içinde veri tabanı tablolarınızdaki isimlerin yerine alternatif isimler kullanmak. Mesela ?category_id=5 yerine (category_id tablodaki isim) ?CatID=01BX5ZZKBKACTAV9WEVGEMMVRZ kullanmak.
CloudWatch, GrayLog gibi loglama araçları ile uygulamanıza atılan istekleri takip etmek. (Birileri bir şeyler deniyorsa burada karşınıza çıkabilir.)
Sentry gibi araçlarla uygulamanızda meydana gelen hataları ve performans ile ilgili durumları kontrol etmek (Birileri bir şeyler deniyorsa burada karşınıza çıkabilir.)
Laravel dokümanlarında yazan güvenlik uyarılarını dikkate almak; parameter binding, validation vs...
Bu işlere bütçe ayırmak.

byhk44

mgsmus Çok teşekkür ederim. iyi çalışamalar hepsini inceliyorum