Cours Laravel 5.5 – la sécurité
Mardi 10 octobre 2017 14:12
Lorsqu’on développe une application on prend plein de précautions, par exemple les utilisateurs doivent s’authentifier pour éviter des actions non autorisées. Dans le code on peut vérifier si la personne est authentifiée et quel est son degré d’habilitation.
Mais en dehors de l’authentification on doit gérer certaines situations comme par exemple savoir si un utilisateur authentifié a le droit de modifier une ressource particulière. Laravel nous offre un système d’autorisations bien pratique.
L’authentification
Les middlewares
On a déjà vu l’authentification en détail dans un précédent chapitre. On a aussi vu que dans l’application d’exemple les utilisateurs authentifiés ont un rôle selon leur degré d’habilitation. On peut filtrer les accès selon le statut avec des middlewares. Dans l’application d’exemple on a le middleware Admin : Avec ce code :<?php
namespace App\Http\Middleware;
use Closure;
class Admin
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle($request, Closure $next)
{
$user = $request->user();
if ($user && $user->role === 'admin') {
return $next($request);
}
return redirect()->route('home');
}
}
Dans la méthode handle on récupère l'utilisateur en cours ($request->user()) et on teste s'il s'agit d'un administrateur ($user->role === 'admin').
On peut ainsi filtrer les routes réservées aux administrateurs :
Route::middleware('admin')->group(function () {
...
}
On a de la même manière le middleware Redac pour les rédacteurs avec le même type de code :
Le throttle
D’autre part est prévue par défaut dans l’authentification une sécurisation de la connexion contre les attaques « brute force ». Si vous regardez dans le trait Illuminate\Foundation\Auth\AuthenticatesUsers vous trouvez le trait ThrottlesLogins :trait AuthenticatesUsers
{
use RedirectsUsers, ThrottlesLogins;
C’est ce trait qui assure la sécurité. En cas d’un certain nombre de connexions avortées (5 par défaut) on bloque l’accès pour le couple « email (ou autre) / adresse IP » pendant une minute.
Le hashage
Laravel possède la façade Hash qui permet de faire du hashage avec Bcrypt. C'est ce qui est utilisé pour l'encryption du mot de passe dans AuthR/egisterController avec l'helper bcrypt :protected function create(array $data)
{
return User::create([
...
'password' => bcrypt($data['password']),
]);
}
Si vous utilisez l'authentification par défaut de Laravel vous n'avez pas besoin d'en savoir davantage parce que tout est géré par le framework.
Quelques éléments à prendre en considération
Les injections SQL
Une injection SQL est une attaque qui consiste à ajouter à une requête inoffensive un complément qui peut être dangereux pour l’application (des explications plus précises ici).Si vous utilisez Eloquent vous êtes automatiquement immunisé contre ces attaques.
Par contre si vous faites des requêtes avec par exemple DB::raw() ou whereRaw, autrement dit si vous contournez Eloquent, alors vous devez vous-même vous prémunir contre les attaques SQL.
CSRF
Je vous ai déjà parlé de la protection CSRF dans ce cours, elle est automatiquement mise en place par Laravel.XSS (Cross-Site Scripting)
Dans ce cas c’est une injection insidieuse de Html ou de JavaScript. Laravel ne fait pas de nettoyage des entrées en dehors de la validation. Si vous voulez en faire un libre à vous, par exemple avec ce composant. Par contre vous avez avec Blade la syntaxe sécuritaire {{ .. }} qui « échappe » les données à l’affichage.Faites très attention avec la syntaxe {!! … !!} ! En gros vous devez l’éviter avec des données issues de l’extérieur de l’application.
L’assignation de masse
Je vous ai déjà parlé de l’assignation de masse. Vous devez choisir avec soin les colonnes des tables qui sont sans danger dans une mise à jour de masse, celles que vous mettez dans la propriété $fillable (ou $guarded avec la logique inverse) d’un modèle.Les requêtes de formulaire
Un autre lieu où on peut sécuriser l’application est au niveau des requêtes de formulaires. On a vu qu’il y a une méthode authorize. Dans l’application d’exemple cette méthode n'est pas utilisée mais il faut renvoyer true pour que ça fonctionne. C'est pour cette raison que toutes les requêtes de formulaires hérite de cette classe parente pour éviter d'avoir du code dupliqué :<?php
namespace App\Http\Requests;
use Illuminate\Foundation\Http\FormRequest;
abstract class Request extends FormRequest
{
/**
* Authorization
*
* @return boolean
*/
public function authorize()
{
return true;
}
}
Vous pouvez ici vérifier par exemple si un utilisateur a le droit d'utiliser effectivement le formulaire et renvoyer false si ce n'est pas le cas.
Les autorisations
En plus de ces possibilités Laravel nous offre un système complet d’autorisations. On dispose d'un commande pour créer une autorisation :php artisan make:policy TestPolicy
Avec ce code par défaut :
<?php
namespace App\Policies;
use App\User;
use Illuminate\Auth\Access\HandlesAuthorization;
class TestPolicy
{
use HandlesAuthorization;
/**
* Create a new policy instance.
*
* @return void
*/
public function __construct()
{
//
}
}
Le plus simple pour voir comment cela fonctionne est de prendre un exemple. Dans l’application d’exemple on a le dossier app/Policies avec 3 fichiers :
Voyons le code de PostPolicy :
<?php
namespace App\Policies;
use App\Models\ {User, Post};
class PostPolicy extends Policy
{
/**
* Determine whether the user can manage the post.
*
* @param \App\Models\User $user
* @param \App\Models\Post $post
* @return mixed
*/
public function manage(User $user, Post $post)
{
return $user->id === $post->user_id;
}
}
On voit que la classe étend une autre classe dans le même dossier :
<?php
namespace App\Policies;
use App\Models\User;
use Illuminate\Auth\Access\HandlesAuthorization;
class Policy
{
use HandlesAuthorization;
/**
* Grant all abilities to administrator.
*
* @param \App\Models\User $user
* @return bool
*/
public function before(User $user)
{
if ($user->role === 'admin') {
return true;
}
}
}
La méthode before est la première à être appelée. A ce niveau on vérifie si l’utilisateur est un administrateur, donc possède tous les droits, si c’est le cas on renvoie true.
On a ensuite la méthode manage avec comme paramètres l’utilisateur ($user) et l’article ($post). Si l’utilisateur est le créateur de l’article on renvoie true.
Maintenant que cette autorisation est en place il faut la déclarer. Regardez le fichier app/Providers/AuthServiceProvider :
<?php
namespace App\Providers;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;
use App\Models\Post;
use App\Policies\PostPolicy;
use App\Models\Comment;
use App\Policies\CommentPolicy;
class AuthServiceProvider extends ServiceProvider
{
/**
* The policy mappings for the application.
*
* @var array
*/
protected $policies = [
Post::class => PostPolicy::class,
Comment::class => CommentPolicy::class,
];
/**
* Register any authentication / authorization services.
*
* @return void
*/
public function boot()
{
$this->registerPolicies();
}
}
Dans la propriété policies on a prévu d’ajouter la classe PostPolicy.
Il ne nous reste plus qu’à voir comment on l’utilise.
Par défaut le contrôleur de base utilise le trait AuthorizesRequests :
<?php
namespace App\Http\Controllers;
use Illuminate\Routing\Controller as BaseController;
use Illuminate\Foundation\Bus\DispatchesJobs;
use Illuminate\Foundation\Validation\ValidatesRequests;
use Illuminate\Foundation\Auth\Access\AuthorizesRequests;
class Controller extends BaseController
{
use AuthorizesRequests, DispatchesJobs, ValidatesRequests;
}
Donc tous les contrôleurs sont au courant de l’existence des autorisations enregistrées.
Regardez ces deux méthodes du contrôleur Back/PostController :
public function edit(Post $post)
{
$this->authorize('manage', $post);
$categories = Category::all()->pluck('title', 'id');
return view('back.posts.edit', compact('post', 'categories'));
}
public function update(PostRequest $request, Post $post)
{
$this->authorize('manage', $post);
$this->repository->update($post, $request);
return back()->with('post-ok', __('The post has been successfully updated'));
}
Elles sont destinées pour la première à afficher le formulaire de modification d’un article et pour la seconde à traiter la soumission des modifications.
Dans les deux cas on met en œuvre l’autorisation :
$this->authorize('manage', $post);
Donc s’il ne s’agit pas d’un administrateur ou du propriétaire de l’article ça va coincer ici.
On peut également utiliser l'autorisation en tant que middleware dans les routes (can) :Route::name('posts.seen')->put('posts/seen/{post}', 'PostController@updateSeen')->middleware('can:manage,post');
Route::name('posts.active')->put('posts/active/{post}/{status?}', 'PostController@updateActive')->middleware('can:manage,post');
On peut aussi utiliser une autorisation dans une vue, ce n'est pas utilisé dans l'application d'exemple mais on aurait pu écrire :
@if (Auth::user()->can('manage', $post))
Vous pouvez trouver la documentation complète ici.
En résumé
- L’authentification permet de sécuriser une application et d’adapter l’affichage selon le degré d’habilitation de l’utilisateur.
- Eloquent immunise contre les injections SQL.
- La protection CSRF est automatiquement mise en place par Laravel.
- Il faut être très prudent avec la syntaxe {!! … !!} de Blade.
- On peut sécuriser les requêtes de formulaire avec leur méthode authorize.
- Laravel comporte un système complet et simple de gestion des autorisations (policies).
Par bestmomo
Aucun commentaire