Конфигурация и безопасность
Главный project config
config/systematika.php содержит project-specific настройки.
| Config key | Env | Назначение |
|---|---|---|
webserver_url | WEBSERVER_URL | Базовый URL Laravel/webserver для прогрева cache |
wp_url | WP_URL | Базовый URL WordPress/v1 |
wp_hook_key | WP_HOOK_KEY | Secret для WP cache hook |
api_key | API_KEY | Secret для internal API |
admin_panel | ADMIN_PANEL | Path админки Filament |
must_verify_email | MUST_VERIFY_EMAIL | Нужно ли подтверждение email |
registration_enable | REGISTRATION_ENABLE | Включена ли регистрация |
unauthorized_roadmap_url | UNAUTHORIZED_ROADMAP_URL | URL roadmap для неавторизованных |
modern_catalog_url | MODERN_CATALOG_URL | Prefix каталога |
root_htaccess | ROOT_HTACCESS | Путь к внешнему .htaccess для router commands |
mk_api_key | MK_API_KEY | Ключ MK API |
Важные env-переменные Laravel
| Env | Назначение |
|---|---|
APP_ENV | Окружение |
APP_KEY | Laravel encryption key |
APP_URL | Базовый URL приложения |
DB_CONNECTION | По умолчанию �может быть sqlite, но проект ожидает MySQL для основной работы |
DB_HOST, DB_PORT, DB_DATABASE, DB_USERNAME, DB_PASSWORD | Основное MySQL подключение |
CACHE_STORE | По умолчанию database |
QUEUE_CONNECTION | По умолчанию database |
SESSION_DRIVER | По умолчанию database |
MySQL и LOCAL_COMPUTER
config/database.php содержит дополнительную логику: при LOCAL_COMPUTER=1 host/port для mysql и gktomk берутся из local env-переменных.
Аудит выявил риск: код ожидает DB_GKTOMK_LOCAL_HOST и DB_GKTOMK_LOCAL_PORT, а .env.example содержит похожее имя с опечаткой DB_GKTOML_LOCAL_HOST/PORT.
Если локальное подключение gktomk не работает, сначала проверьте это расхождение.
Secrets
Опасная деталь: дефолтные значения WP_HOOK_KEY и API_KEY в config равны systematika, если env не задан.
Для production обязательно задать уникальные значения:
WP_HOOK_KEY=long-random-secret
API_KEY=another-long-random-secret
Auth
Проект использует:
- Laravel
webguard; - Fortify actions;
- Jetstream actions;
- Filament login;
- Spatie Permission;
- custom
User::canAccessPanel(); - auto-login через
gk_uhash.
Важно: стандартные Fortify/Jetstream package routes отключены. Основной admin entrypoint — Filament.
Доступ в Filament
Доступ проверяется методом User::canAccessPanel().
Не считайте, что роль admin автоматически равна доступу в панель. В проекте фигурирует permission landing_admin_bar:view.
API protection
| Endpoint group | Middleware | Header |
|---|---|---|
| WP cache hook | CheckWpHookKey | X-WP-HOOK-KEY |
| Internal API | CheckApiKey | X-API-KEY |
Security hotspots
| Hotspot | Почему важно |
|---|---|
LoginByGkUHash | Глобальный auto-login и auto-create user |
Redirect | Данные из БД могут изменить любой URL flow |
/api/debug-dump | Может писать чувствительные request/config данные в logs |
/debug/loginus/callback | Debug OAuth callback с dump/dd |
ROOT_HTACCESS | Router commands могут менять внешний .htaccess |
landing_proxy_pages.to_path | Laravel может ходить за HTML по внешним URL |
WP_HOOK_KEY/API_KEY defaults | Нельзя оставлять дефолты в production |
Что проверять перед production
APP_ENV=production.APP_DEBUG=false.- Уникальный
APP_KEY. - Уникальные
WP_HOOK_KEYиAPI_KEY. - Debug endpoints отключены или защищены.
ROOT_HTACCESSуказывает на ожидаемый файл.- Queue worker запущен.
- Cron
schedule:runзапущен. failed_jobsмониторится.- Filament permissions выданы только нужным пользователям.