Laravel: Lapisi Otentikasi dengan Deteksi Anomali Session Real-time

Pendahuluan

Masalah utama yang ingin diselesaikan adalah bagaimana menambahkan lapisan deteksi anomali ke mekanisme otentikasi Laravel yang sudah berjalan tanpa mengganggu pengalaman pengguna normal. Dalam artikel ini Anda akan menemukan langkah-langkah konkret: mencatat pola login, menghitung metrik perilaku session, menyimpan fingerprint di Redis, serta menegakkan respons otomatis melalui middleware jika anomali terdeteksi.

Solusi ini bekerja secara real-time karena setiap percobaan masuk dibandingkan dengan fingerprint session sebelumnya, lalu diarahkan ke pertahanan seperti otomatis mengunci session atau memaksa re-authentication ketika pola tidak cocok.

Pola Logging Otentikasi dan Metrik Perilaku

Struktur log untuk audit dan deteksi

Setiap login harus mencatat setidaknya: status, timestamp, user_id, IP, User-Agent, dan device fingerprint. Gunakan channel log khusus agar mudah di-query:

Log::channel('auth_anomaly')->info('login_attempt', [
    'user_id' => $user->id ?? null,
    'ip' => request()->ip(),
    'user_agent' => request()->header('User-Agent'),
    'status' => $status,
    'fingerprint' => $fingerprint,
]);

Fingerprint bisa berupa hash kombinasi IP / User-Agent / nilai header seperti X-Device-Id dan atribut browser. Fokus pada entropi tinggi dan konsisten di seluruh permintaan.

Metrik perilaku yang perlu dipantau

• IP dan Geo: perubahan region secara tiba-tiba dari satu login ke login lain menandakan anomal.
• User-Agent: jaga agar fingerprint hanya berubah ketika ada pembaruan browser atau device.
• Device fingerprint: hash komposit (misalnya sha256) dari kombinasi IP, UA, header kustom, dan nilai stored device ID.

Catat metrik ke Redis atau database waktu-nyata agar middleware dapat membandingkan session aktif dengan baseline.

Persiapan Redis untuk Fingerprint

Konfigurasi Redis

Untuk kecepatan baca-tulis fingerprint, gunakan Redis sebagai storage ringkas. Di .env Anda mungkin sudah memiliki koneksi default, tapi pastikan ada koneksi khusus untuk fingerprint:

REDIS_FINGERPRINT_HOST=127.0.0.1
REDIS_FINGERPRINT_PASSWORD=null
REDIS_FINGERPRINT_DB=1

Tambahkan di config/database.php:

'redis' => [
    'client' => env('REDIS_CLIENT', 'phpredis'),
    'default' => [...],
    'fingerprint' => [
        'host' => env('REDIS_FINGERPRINT_HOST'),
        'password' => env('REDIS_FINGERPRINT_PASSWORD'),
        'port' => env('REDIS_PORT', 6379),
        'database' => env('REDIS_FINGERPRINT_DB', 1),
    ],
],

Dalam proses login, simpan fingerprint dengan TTL untuk menghindari data kadaluarsa. Contohnya:

$fingerprintKey = "session:fingerprint:{$user->id}";
Redis::connection('fingerprint')->setex($fingerprintKey, 3600, $fingerprint);

TTL rendah memastikan data reflektif terhadap perilaku mutakhir.

Middleware Deteksi dan Penegakan

Alur middleware

Buat middleware yang dijalankan setiap request setelah otentikasi Laravel. Middleware tersebut melakukan:

1. Ambil fingerprint dari request saat ini.
2. Ambil fingerprint terakhir dari Redis.
3. Hitung skor anomali berdasarkan jarak metrik (IP, UA, header device).
4. Jika skor melewati ambang batas, ambil tindakan seperti mengunci session atau memaksa re-authentication.

namespace App\Http\Middleware;

use Closure;
use Illuminate\Support\Facades\Redis;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\Facades\Log;

class CheckSessionFingerprint
{
    public function handle($request, Closure $next)
    {
        if (!Auth::check()) {
            return $next($request);
        }

        $user = Auth::user();
        $current = $this->buildFingerprint($request);
        $key = "session:fingerprint:{$user->id}";
        $stored = Redis::connection('fingerprint')->get($key);

        if ($stored && !$this->matches($stored, $current)) {
            Log::channel('auth_anomaly')->warning('session_mismatch', [
                'user_id' => $user->id,
                'ip' => $request->ip(),
            ]);

            $this->lockSession($request);
            return redirect()->route('auth.reconfirm');
        }

        Redis::connection('fingerprint')->setex($key, 3600, $current);
        return $next($request);
    }

    protected function buildFingerprint($request)
    {
        return hash('sha256', $request->ip() . '|' . $request->header('User-Agent') . '|' . $request->bearerToken());
    }

    protected function matches($stored, $current)
    {
        return hash_equals($stored, $current);
    }

    protected function lockSession($request)
    {
        session()->invalidate();
        session()->regenerateToken();
    }
}

Metode lockSession memaksa perpanjangan token dan invalidasi session. Pastikan middleware didaftarkan di grup web setelah middleware auth.

Penegakan lanjutan

Untuk kasus deteksi, selain redirect ke route re-confirmation, Anda bisa menambahkan event log atau broadcast ke tim keamanan.

Rate Limit Adaptif dan Penanganan Token

Rate limit adaptif untuk login

Jika sistem mendeteksi anomali, turunkan ambang rate limit untuk user atau IP tersebut sebelum menampilkan form login kedua. Contoh polanya:

• Gunakan Laravel Rate Limiter (per IP/user) untuk membatasi permintaan login.
• Saat anomali terdeteksi, tingkatkan penalti (misalnya 60 detik blokir) dan catat ke Redis.

Definisikan rate limiter di App\Providers\RouteServiceProvider:

RateLimiter::for('login', function (Request $request) {
    $key = Str::lower($request->input('email')).'|'.$request->ip();
    $penalty = cache()->get("login:penalty:{$key}", 1);

    return Limit::perMinute(5 / $penalty)->by($key);
});

Ketika anomaly counter meningkat, tingkatkan cache penalty sementara.

Penanganan secret token dan refresh

Token API atau refresh token yang diproses harus dipertahankan rotasinya tanpa memutus pengecekan. Tips:

• Selalu simpan fingerprint terpisah, jangan terikat langsung ke token.
• Saat refresh token digunakan, perbarui fingerprint di Redis sebelum token lama dihapus.
• Gunakan short-lived token + rotating refresh agar deteksi tetap sinkron saat perangkat berpindah.

Jika rotasi token memicu mismatch, buat fallback yang memverifikasi ulang fingerprint melalui langkah 2FA atau OTP.

Monitoring dan Debugging

Untuk meninjau log otentikasi, gunakan perintah bawaan Laravel:

php artisan tail --path=storage/logs/laravel.log

Perintah ini membantu memantau peringatan session mismatch secara real-time. Tambahkan filter dalam Log::channel('auth_anomaly') agar pesan lebih mudah dicari.

Beberapa kesalahan umum:

• Menghitung fingerprint hanya dari User-Agent tanpa header tambahan — mudah dipalsukan.
• Terlalu agresif mengunci session tanpa memberi jalan pemulihan, yang menyebabkan false positive.
• Token refresh dihapus sebelum fingerprint diperbarui, membuat middleware selalu menolak.

Ketika sistem mendeteksi anomali, berikan instruksi pemulihan (misal link reset) di log dan notifikasi ke admin.