Kevin Adametz
94cb209a9f
E-Mail-Verifizierung (Entscheidung 15.06.): - User implementiert MustVerifyEmail; Registrierung legt inaktives, rollenloses Konto an und leitet auf die Danke-/Notice-Seite; Registered-Event versendet die Verifizierungsmail. Bestätigter Link aktiviert das Konto + vergibt customer-Rolle (ActivateUserAfterVerification). Backfill-Migration setzt email_verified_at für alle Bestands-User (sonst würde die verified-Middleware ~59k aktive Legacy-User aussperren). Seeder-User verifiziert. Auth-Flow-Korrekturen: - Magic-Link-Consume: rollensicherer Redirect ohne intended() (Customer landete sonst per stale intended=/dashboard im 403-Admin-Bereich). - Guest-Redirect (bootstrap/app.php) rollen-/verifizierungsbewusst statt fix /dashboard – schließt die 403-Sackgasse auf /login und /register. - Logout auf der Notice-Seite via echtes POST-Formular statt Livewire-Action (behebt 419 beim Session-Invalidate). - Magic-Link-Anforderung über eigenes Modal mit separater E-Mail-Eingabe. - Unverifizierte Login-Versuche landen auf der Notice-Seite. Sicherheitsfix Legacy-Rollen: - UserImporter mappte Alt-Gruppe 2 (Self-Publisher) auf editor (= Admin-Zugriff). Mapping auf customer korrigiert; Daten-Migration stuft die 65.950 fälschlichen Legacy-Editoren auf customer herab. Echte admin/api-only bleiben unberührt. Tests: Registration, EmailVerification, Authentication (Guest-Redirect), MagicLinkLogin (Modal/Redirect/Regression), Legacy-Import (Gruppen-Mapping). Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
68 lines
2.4 KiB
PHP
68 lines
2.4 KiB
PHP
<?php
|
|
|
|
use App\Http\Middleware\BasicAuthMiddleware;
|
|
use App\Http\Middleware\LogApiUsage;
|
|
use App\Http\Middleware\RejectLegacyApiKeys;
|
|
use App\Http\Middleware\SetCurrentPortal;
|
|
use Illuminate\Foundation\Application;
|
|
use Illuminate\Foundation\Configuration\Exceptions;
|
|
use Illuminate\Foundation\Configuration\Middleware;
|
|
use Illuminate\Http\Request;
|
|
use Laravel\Sanctum\Http\Middleware\CheckAbilities;
|
|
use Laravel\Sanctum\Http\Middleware\CheckForAnyAbility;
|
|
|
|
return Application::configure(basePath: dirname(__DIR__))
|
|
->withRouting(
|
|
web: __DIR__.'/../routes/domains.php',
|
|
api: __DIR__.'/../routes/api.php',
|
|
commands: __DIR__.'/../routes/console.php',
|
|
health: '/up',
|
|
)
|
|
->withMiddleware(function (Middleware $middleware) {
|
|
|
|
// Portal-Kontext nach dem Theme-Provider setzen (liest config('app.theme'))
|
|
$middleware->append(SetCurrentPortal::class);
|
|
|
|
// Wohin eingeloggte User von Gast-Routen (/login, /register) gelenkt
|
|
// werden: rollen- und verifizierungsbewusst statt fix auf /dashboard,
|
|
// sonst landet ein Customer dort im 403 und sitzt fest.
|
|
$middleware->redirectUsersTo(function (Request $request) {
|
|
$user = $request->user();
|
|
|
|
if ($user && ! $user->hasVerifiedEmail()) {
|
|
return route('verification.notice');
|
|
}
|
|
|
|
if ($user?->canAccessAdmin()) {
|
|
return route('dashboard');
|
|
}
|
|
|
|
return $user?->canAccessCustomer() ? route('me.dashboard') : '/';
|
|
});
|
|
|
|
$middleware->api(prepend: [
|
|
LogApiUsage::class,
|
|
RejectLegacyApiKeys::class,
|
|
]);
|
|
|
|
$middleware->alias([
|
|
'abilities' => CheckAbilities::class,
|
|
'ability' => CheckForAnyAbility::class,
|
|
]);
|
|
|
|
// BasicAuth ganz am Ende, nach Session-Middleware
|
|
if (env('BASIC_AUTH_ENABLED', true)) {
|
|
$middleware->append(BasicAuthMiddleware::class);
|
|
}
|
|
// Trust all proxies (for Traefik/Docker setup)
|
|
$middleware->trustProxies(
|
|
at: '*',
|
|
headers: Request::HEADER_X_FORWARDED_FOR |
|
|
Request::HEADER_X_FORWARDED_HOST |
|
|
Request::HEADER_X_FORWARDED_PORT |
|
|
Request::HEADER_X_FORWARDED_PROTO
|
|
);
|
|
})
|
|
->withExceptions(function (Exceptions $exceptions) {
|
|
//
|
|
})->create();
|