Hardening Auth Laravel: Rotasi Secret, Sesi Aman, & Rate Limit

Pendahuluan

Hardening Auth Laravel adalah upaya sistematis untuk memperkuat lapisan autentikasi dengan mengatasi risiko paling umum: bocornya secret, sesi yang mudah ditebak, serta endpoint login atau upload yang rentan disalahgunakan. Artikel ini langsung menjawab kebutuhan tersebut dengan langkah operasional—audit rotasi secret, validasi kredensial, konfigurasi sesi aman, rate limit, dan monitoring.

Setiap strategi disertai alasan teknis mengapa pendekatan tersebut efektif, serta trade-off yang perlu diperhatikan agar tidak mengganggu pengalaman pengguna tanpa mengorbankan keamanan.

Audit dan Rotasi Secret .env

Secret aplikasi (APP_KEY) dan kredensial penyimpanan harus diperlakukan sebagai rahasia mutlak. Audit pertama harus mencakup pemindaian repository untuk memastikan tidak ada file .env yang terkomit. Setelah itu, lakukan rotasi secret secara berkala melalui prosedur terkontrol.

Langkah praktis:

1. Dokumentasi penyimpanan: Simpan secret di layanan manajemen rahasia (Vault, AWS Secrets Manager, GitHub Secrets) dan akses melalui deployment pipeline. Jangan menaruh di repository.
2. Rotasi terjadwal: Tetapkan SOP: misalnya setiap 90 hari atau setelah kejadian keamanan. Rotasi manual di Laravel bisa dilakukan melalui php artisan key:generate, lalu update environment dan reload cache konfigurasi.
3. Validasi integritas: Setelah rotasi, jalankan php artisan config:cache dan periksa error log untuk memastikan tidak ada fallback ke key lama.

Trade-off: rotasi terlalu sering bisa menyebabkan downtime jika environment belum konsisten. Pastikan deployment pipeline mampu mempropagasi secret baru ke semua instance sebelum rotasi aktif.

Validasi Input Kredensial

Gunakan request validation untuk mencegah payload berbahaya sebelum memproses autentikasi:

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

public function login(Request $request)
{
    $validated = $request->validate([
        'email' => 'required|email|max:255',
        'password' => 'required|string|min:8',
    ]);

    if (! Auth::attempt($validated)) {
        abort(401, 'Kredensial gagal');
    }

    return response()->json(['token' => $request->session()->getId()]);
}

Validasi awal memastikan proses login tidak menghabiskan sumber daya untuk payload yang tidak sesuai format dan membantu mencegah injection.

Menjaga Sesi Aman

Setelah autentikasi berhasil, sesi perlu diamankan agar tidak mudah diretas.

Konfigurasi Secure Cookie dan SameSite

Edit config/session.php:

'secure' => env('SESSION_SECURE_COOKIE', true),
'same_site' => 'lax',
'domain' => env('SESSION_DOMAIN', null),

Dengan secure cookies, browser hanya mengirim cookie saat koneksi HTTPS. SameSite mengurangi risiko CSRF. Setting 'lax' cocok untuk sebagian besar aplikasi, namun jika menggunakan cross-site iframe, pertimbangkan 'none' dengan HTTPS.

Invalidasi dan Broadcasting Sesi

Untuk logout atau rotasi password, pastikan sesi lama dihapus:

public function logout(Request $request)
{
    $request->session()->invalidate();
    $request->session()->regenerateToken();

    return response()->noContent();
}

Gunakan event broadcasting (misalnya dengan Redis/Socket) untuk memberitahu client lain bahwa sesi telah invalid, terutama di aplikasi dengan multi-tab.

Middleware Khusus untuk Pemeriksaan Awal

Buat middleware untuk mengecek tanda curiga di request baru:

namespace App\Http\Middleware;

use Closure;

class CheckSessionFingerprint
{
    public function handle($request, Closure $next)
    {
        $fingerprint = hash('sha256', $request->userAgent().$request->ip());
        if ($request->session()->get('fingerprint') && $request->session()->get('fingerprint') !== $fingerprint) {
            $request->session()->invalidate();
            abort(403, 'Sesi tidak konsisten');
        }
        $request->session()->put('fingerprint', $fingerprint);

        return $next($request);
    }
}

Fingerprint menambah lapisan verifikasi agar sesi tidak bisa dipakai di perangkat berbeda tanpa invalidasi.

Rate Limit dan Proteksi Abuse

Rate limit adalah mekanisme utama mencegah brute-force dan oversubscription endpoint login atau upload.

Rate Limit Middleware

Laravel menyediakan throttle middleware. Terapkan pada routes sensitif:

Route::post('login', [AuthController::class, 'login'])
    ->middleware('throttle:5,1');

Route::post('upload', [UploadController::class, 'store'])
    ->middleware('throttle:30,1');

Angka 5,1 berarti maksimal lima request per menit. Sesuaikan dengan pola penggunaan aplikasimu. Jangan membuat rate terlalu rendah agar tidak menolak pengguna sah.

Proteksi Abuse Tambahan

• Firewall IP reputation: Gunakan service seperti Cloudflare atau server firewall untuk men-block IP dengan perilaku otomatis.
• Challenge tambahan: Setelah limit tercapai, minta captcha agar user membuktikan diri.
• Logging detail: Catat user agent, IP, dan timestamp saat rate limit tercapai untuk analisis.

Monitoring dan Deteksi

Implementasi hardening harus diikuti monitoring untuk mendeteksi penyalahgunaan.

• Log login dan gagal login: Gunakan channel log khusus dan kirim alert jika terjadi spike.
• Metrics dashboard: Pantau jumlah sesi aktif, failed login, dan pola rate limit.
• Alert otomatis: Hubungkan log dengan sistem notifikasi (Email/Slack) untuk kejadian abnormal.

Catat juga hasil audit secret, rotasi, dan konfigurasi session untuk compliance internal.

Kesimpulan

Hardening Auth Laravel berarti menggabungkan rotasi secret .env, validasi input kredensial, sesi aman, rate limit, dan monitoring. Gabungan ini menutup lubang umum tanpa mengurangi responsivitas aplikasi. Selalu uji konfigurasi di staging sebelum diterapkan ke production untuk mencegah gangguan layanan.