Rails重定向到https

ActionController::Base#redirect_to 方法需要一个选项哈希，其中一个参数是 :protocol，它允许你调用：

redirect_to :protocol => 'https://', 
            :controller => 'some_controller', 
            :action => 'index'

参见#redirect_to和#url_for的定义，以获取有关选项的更多信息。或者，特别是如果要为所有控制器操作使用SSL，您可以采用更具声明性的方法，使用before_filter。在ApplicationController中，您可以定义以下方法：

def redirect_to_https
    redirect_to :protocol => "https://" unless (request.ssl? || request.local?)
end

您可以在需要 SSL 的操作中的控制器中添加筛选器，例如：

class YourController
    before_filter :redirect_to_https, :only => ["index", "show"]
end

如果你想在整个应用中使用 SSL，可以在 ApplicationController 中声明过滤器：

class ApplicationController
    before_filter :redirect_to_https
end

如果您希望您的整个应用程序通过https提供服务，那么自从Rails 4.0以来，最好的方法是在配置文件中启用force_ssl，如下所示：

# config/environments/production.rb
Rails.application.configure do
  # [..]

  # Force all access to the app over SSL, use Strict-Transport-Security,
  # and use secure cookies.
  config.force_ssl = true
end

默认情况下，这个选项已经在新生成的应用程序中的 config/environments/production.rb 中存在，但被注释掉了。

正如注释所说，这不仅会重定向到 https，还会设置Strict-Transport-Security头部（HSTS）并确保所有 Cookie 上设置了安全标志。这两个措施都可以增加应用程序的安全性而几乎没有副作用。它使用了ActionDispatch:SSL。

HSTS 过期设置默认为一年，不包括子域名，这对大多数应用程序来说可能是可以接受的。您可以使用hsts选项进行配置：

config.hsts = {
  expires: 1.month.to_i,
  subdomains: false,
}

如果你正在运行Rails 3（>=3.1），或者不想为整个应用程序使用https，则可以在控制器中使用force_ssl方法：

class SecureController < ApplicationController
  force_ssl
end

就这些了。您可以在每个控制器中设置它，或者在您的ApplicationController中设置。您可以使用熟悉的if或unless选项有条件地强制使用https；例如：

# Only when we're not in development or tests
force_ssl unless: -> { Rails.env.in? ['development', 'test'] }

你最好使用ssl_requirement，不用担心链接或重定向是否使用https。通过ssl_requirement，你可以声明哪些操作需要SSL，哪些能够使用SSL，哪些必须不使用SSL。

如果你要重定向到Rails应用程序之外的其他地方，则像Olly建议的那样指定协议即可。

如果您想全局控制控制器生成的url协议，可以在应用程序控制器中重写url_options方法。您可以根据Rails环境强制生成的url协议，例如：

 def url_options
    super
    @_url_options.dup.tap do |options|
      options[:protocol] = Rails.env.production? ? "https://" : "http://"
      options.freeze
    end
  end

这个示例适用于Rails 3.2.1，我不确定早期或未来的版本是否适用。

如果您想强制所有流量通过 https，那么在Rails 6中最好的方法是配置production.rb：

config.force_ssl = false

如果您需要更灵活的解决方案，可以使用一个简单的before_action过滤器来处理：

class ApplicationController < ActionController::Base

  include SessionsHelper
  include LandingpageHelper
  include ApplicationHelper
  include UsersHelper
  include OrganisationHelper

  before_action :enforce_ssl, :except => [:health] 

  def enforce_ssl
    if ENV['ENFORCE_SSL'].to_s.eql?('true') && !request.ssl?
      redirect_to request.url.gsub(/http/i, "https")
    end
  end 


end

如果您在AWS ECS Fargate上运行应用程序并使用健康检查，则需要一个更灵活的解决方案，因为来自AWS目标组的健康检查不通过https调用。当然，您希望健康检查正常工作，同时希望强制对所有其他控制器方法使用SSL。 ENFORCE_SSL只是一个环境变量，用于开启/关闭此功能。

这个答案与原问题有些不相关，但我记录下来以防其他人遇到类似的情况。

我遇到了这样一种情况：即使所有请求的来源都是未加密的（http），我需要让Rails在url helpers等方面使用https协议。

通常，在这种情况下（当Rails位于反向代理或负载均衡器等后面时很常见），反向代理或其他组件会设置x-forwarded-proto标头。因此，即使代理和Rails之间的请求未加密（顺便说一句，这在生产环境中可能不可取），Rails也认为一切都在https中。

我需要在ngrok tls隧道后运行。我想让ngrok使用我指定的letsencrypt证书终止tls。然而，当ngrok这样做时，ngrok不提供自定义标头的功能，包括设置x-forwarded-proto（尽管该功能将在未来某个时候推出）。

解决方案非常简单：Rails不依赖于来源的协议或是否直接设置x-forwarded-proto，而是依赖于Rack env var rack.url_scheme。因此，在开发中，我只需要添加这个Rack中间件：

class ForceUrlScheme
  def initialize(app)
    @app = app
  end

  def call(env)
    env['rack.url_scheme'] = 'https'
    @app.call(env)
  end
end

在Rails 4中，可以使用force_ssl_redirect before_action来强制单个控制器使用ssl。请注意，通过使用此方法，您的cookie将不会标记为安全，并且不使用HSTS。

在 ..._url 中添加 protocol：

redirect_to your_url(protocol: 'https')

或者使用子域名：

redirect_to your_url(protocol: 'https', subdomain: 'your_subdomain')

相对 URL 根据定义使用当前协议和主机。如果您想更改使用的协议，您需要提供绝对 URL。我会采纳 Justice 的建议并为您创建一个执行此操作的方法：

def redirect_to_secure(relative_uri)
  redirect_to "https://" + request.host + relative_uri
end

打开包含redirect_to的类，并添加一个名为redirect_to_secure_of的方法，然后实现它。最后调用：

redirect_to_secure_of "/some_directory/"

将这个方法放在lib目录或其他有用的地方。