介绍
中间件为检查和过滤进入应用程序的HTTP请求提供了一种方便的机制。比如 Laravel 提供了一个中间件,用于验证用户是否通过身份验证,如果身份验证失败,中间件则会将重定向到登录页,反之中间件将允许请求继续进入后面的业务逻辑。
除了身份验证,中间件还可以用于各种业务场景。比如,日志记录中间件可以记录所有传入应用程序的请求。 Laravel 自身也包含多种中间件,其中包括用于 身份验证 和 CSRF 保护的中间件;通常用户定义的中间件都位于应用程序的 php app/Http/Middleware 目录中。
定义中间件
可以使用 php make:middleware Artisan 命令,来创建一条中间件:
php artisan make:middleware EnsureTokenIsValid
该命令将在 php app/Http/Middleware 目录中放置一个新的 php EnsureTokenIsValid 类。在此中间件中,如果提供的 php token 输入与指定值匹配,将仅允许访问路由。否则会将用户重定向回 php home URI:
<?phpnamespace App\Http\Middleware;use Closure;use Illuminate\Http\Request;use Symfony\Component\HttpFoundation\Response;class EnsureTokenIsValid{/*** 处理传入请求** @param \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response) $next*/public function handle(Request $request, Closure $next): Response{if ($request->input('token') !== 'my-secret-token') {return redirect('home');}return $next($request);}}
上面代码,如果给定的 php token 与我们的密钥不匹配,中间件将向客户端返回 HTTP 重定向;否则,请求将进一步传递到应用程序中。要将请求更深入地传递到应用程序(进一步传递),应该使用 php $request 调用 php $next 回调。
最好将中间件设想为一系列 「层」,HTTP 请求在到达应用程序之前必须经过的部分,每一层都可以检查请求,也可以完全拒绝它。
[!注意]
所有中间件都通过 服务容器 解析,因此您可以在中间件的构造函数中键入提示所需的任何依赖项。
中间件响应
中间件可以选择在请求 之前 或 之后 执行任务。
在应用程序 处理请求之前 执行任务:
<?phpnamespace App\Http\Middleware;use Closure;use Illuminate\Http\Request;use Symfony\Component\HttpFoundation\Response;class BeforeMiddleware{public function handle(Request $request, Closure $next): Response{// Perform actionreturn $next($request);}}
在应用程序 处理请求之后 执行任务:
<?phpnamespace App\Http\Middleware;use Closure;use Illuminate\Http\Request;use Symfony\Component\HttpFoundation\Response;class AfterMiddleware{public function handle(Request $request, Closure $next): Response{$response = $next($request);// Perform actionreturn $response;}}
注册中间件
全局中间件
如果希望中间件在应用程序的每个 HTTP 请求期间运行,可以将其附加到应用程序的 php bootstrap/app.php 文件中的全局中间件堆栈中:
use App\Http\Middleware\EnsureTokenIsValid;->withMiddleware(function (Middleware $middleware) {$middleware->append(EnsureTokenIsValid::class);})
提供给 php withMiddleware 闭包的 php $middleware 对象是 php Illuminate\Foundation\Configuration\Middleware 的实例,负责管理分配给应用程序路由的中间件。 php append 方法将中间件添加到全局中间件列表的末尾。如果想将中间件添加到列表的开头,则应使用 php prepend 方法。
手动管理全局中间件
如果想手动管理 Laravel 的全局中间件堆栈,可以向 php use 方法提供 Laravel 的默认全局中间件堆栈。然后,可以根据需要调整默认的中间件堆栈:
->withMiddleware(function (Middleware $middleware) {$middleware->use([// \Illuminate\Http\Middleware\TrustHosts::class,\Illuminate\Http\Middleware\TrustProxies::class,\Illuminate\Http\Middleware\HandleCors::class,\Illuminate\Foundation\Http\Middleware\PreventRequestsDuringMaintenance::class,\Illuminate\Http\Middleware\ValidatePostSize::class,\Illuminate\Foundation\Http\Middleware\TrimStrings::class,\Illuminate\Foundation\Http\Middleware\ConvertEmptyStringsToNull::class,]);})
路由绑定
如果想将中间件分配给特定的路由,可以在定义路由时调用 php middleware 方法:
use App\Http\Middleware\EnsureTokenIsValid;Route::get('/profile', function () {// ...})->middleware(EnsureTokenIsValid::class);
可以通过将中间件名称数组传递给 php middleware 方法来将多个中间件分配给路由:
Route::get('/', function () {// ...})->middleware([First::class, Second::class]);
禁用中间件
将中间件分配给一组路由时,有时可能需要阻止中间件应用于组内的单个路由,可以使用 php withoutMiddleware 方法来完成此操作:
use App\Http\Middleware\EnsureTokenIsValid;Route::middleware([EnsureTokenIsValid::class])->group(function () {Route::get('/', function () {// ...});Route::get('/profile', function () {// ...})->withoutMiddleware([EnsureTokenIsValid::class]);});
还可以从 路由组 中禁用给定的中间件:
use App\Http\Middleware\EnsureTokenIsValid;Route::withoutMiddleware([EnsureTokenIsValid::class])->group(function () {Route::get('/profile', function () {// ...});});
php withoutMiddleware 方法只能移除路由中间件,不适用于 全局中间件.
中间件分组
有时可能希望将多个中间件分组在一个键下,以便更轻松地将它们分配给路由。可以使用应用程序的 php bootstrap/app.php 文件中的 php appendToGroup 方法来完成此操作:
use App\Http\Middleware\First;use App\Http\Middleware\Second;->withMiddleware(function (Middleware $middleware) {$middleware->appendToGroup('group-name', [First::class,Second::class,]);$middleware->prependToGroup('group-name', [First::class,Second::class,]);})
中间件组可以使用与单个中间件相同的语法分配给路由和控制器操作:
Route::get('/', function () {// ...})->middleware('group-name');Route::middleware(['group-name'])->group(function () {// ...});
Laravel 默认中间件组
Laravel 包含预定义的 php web 和 php api 中间件组,其中包含可能想要应用于 Web 和 API 路由的常见中间件。请记住,Laravel 会自动将这些中间件组应用到相应的 php routes/web.php 和 php routes/api.php 文件:
php web 中间件组php Illuminate\Cookie\Middleware\EncryptCookiesphp Illuminate\Cookie\Middleware\AddQueuedCookiesToResponsephp Illuminate\Session\Middleware\StartSessionphp Illuminate\View\Middleware\ShareErrorsFromSessionphp Illuminate\Foundation\Http\Middleware\ValidateCsrfTokenphp Illuminate\Routing\Middleware\SubstituteBindingsphp api 中间件组php Illuminate\Routing\Middleware\SubstituteBindings
如果想将中间件附加或添加到这些组中,则可以在应用程序的 php bootstrap/app.php 文件中使用 php web 和 php api 方法。 php web 和 php api 方法是 php appendToGroup 方法的便捷替代方法:
use App\Http\Middleware\EnsureTokenIsValid;use App\Http\Middleware\EnsureUserIsSubscribed;->withMiddleware(function (Middleware $middleware) {$middleware->web(append: [EnsureUserIsSubscribed::class,]);$middleware->api(prepend: [EnsureTokenIsValid::class,]);})
甚至可以将 Laravel 的默认中间件组条目之一替换为自己的自定义中间件:
use App\Http\Middleware\StartCustomSession;use Illuminate\Session\Middleware\StartSession;$middleware->web(replace: [StartSession::class => StartCustomSession::class,]);
也可以完全删除中间件:
$middleware->web(remove: [StartSession::class,]);
手动管理 Laravel 默认中间件组
如果想手动管理 Laravel 默认 php web 和 php api 中间件组中的所有中间件,可以完全重新定义这些组。下面的示例将定义 php web 和 php api 中间件组及其默认中间件,允许根据需要自定义它们:
->withMiddleware(function (Middleware $middleware) {$middleware->group('web', [\Illuminate\Cookie\Middleware\EncryptCookies::class,\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,\Illuminate\Session\Middleware\StartSession::class,\Illuminate\View\Middleware\ShareErrorsFromSession::class,\Illuminate\Foundation\Http\Middleware\ValidateCsrfToken::class,\Illuminate\Routing\Middleware\SubstituteBindings::class,// \Illuminate\Session\Middleware\AuthenticateSession::class,]);$middleware->group('api', [// \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,// 'throttle:api',\Illuminate\Routing\Middleware\SubstituteBindings::class,]);})
[!注意]
默认情况下php web和php api中间件组会通过php bootstrap/app.php和php routes/api.php文件。
中间件别名
可以在应用程序的 php bootstrap/app.php 文件中为中间件分配别名。中间件别名允许为给定的中间件类定义一个短别名,这对于具有长类名的中间件特别有用:
use App\Http\Middleware\EnsureUserIsSubscribed;->withMiddleware(function (Middleware $middleware) {$middleware->alias(['subscribed' => EnsureUserIsSubscribed::class]);})
一旦在应用程序的 php bootstrap/app.php 文件中定义了中间件别名,就可以在将中间件分配给路由时使用该别名:
Route::get('/profile', function () {// ...})->middleware('subscribed');
为了方便起见,Laravel 的一些内置中间件默认是别名的。例如, php auth 中间件是 php Illuminate\Auth\Middleware\Authenticate 中间件的别名。以下是默认中间件别名的列表:
别名 中间件php auth php Illuminate\Auth\Middleware\Authenticatephp auth.basic php Illuminate\Auth\Middleware\AuthenticateWithBasicAuthphp auth.session php Illuminate\Session\Middleware\AuthenticateSessionphp cache.headers php Illuminate\Http\Middleware\SetCacheHeadersphp can php Illuminate\Auth\Middleware\Authorizephp guest php Illuminate\Auth\Middleware\RedirectIfAuthenticatedphp password.confirm php Illuminate\Auth\Middleware\RequirePasswordphp precognitive php Illuminate\Foundation\Http\Middleware\HandlePrecognitiveRequestsphp signed php Illuminate\Routing\Middleware\ValidateSignaturephp subscribed php \Spark\Http\Middleware\VerifyBillableIsSubscribedphp throttle php Illuminate\Routing\Middleware\ThrottleRequests or php Illuminate\Routing\Middleware\ThrottleRequestsWithRedisphp verified php Illuminate\Auth\Middleware\EnsureEmailIsVerified
中间件排序
极少数情况下,可能需要中间件按特定顺序执行,但在将它们分配给路由时无法控制它们的顺序。在这些情况下,可以使用应用程序的 php bootstrap/app.php 文件中的 php priority 方法指定中间件优先级:
->withMiddleware(function (Middleware $middleware) {$middleware->priority([\Illuminate\Foundation\Http\Middleware\HandlePrecognitiveRequests::class,\Illuminate\Cookie\Middleware\EncryptCookies::class,\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,\Illuminate\Session\Middleware\StartSession::class,\Illuminate\View\Middleware\ShareErrorsFromSession::class,\Illuminate\Foundation\Http\Middleware\ValidateCsrfToken::class,\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,\Illuminate\Routing\Middleware\ThrottleRequests::class,\Illuminate\Routing\Middleware\ThrottleRequestsWithRedis::class,\Illuminate\Routing\Middleware\SubstituteBindings::class,\Illuminate\Contracts\Auth\Middleware\AuthenticatesRequests::class,\Illuminate\Auth\Middleware\Authorize::class,]);})
中间件参数
中间件还可以接收附加参数。例如,如果应用程序需要在执行给定操作之前验证经过身份验证的用户是否具有给定的“角色”,可以创建一个 php EnsureUserHasRole 中间件来接收角色名称作为附加参数。
其他中间件参数将在 php $next 参数之后传递给中间件:
<?phpnamespace App\Http\Middleware;use Closure;use Illuminate\Http\Request;use Symfony\Component\HttpFoundation\Response;class EnsureUserHasRole{/*** Handle an incoming request.** @param \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response) $next*/public function handle(Request $request, Closure $next, string $role): Response{if (! $request->user()->hasRole($role)) {// Redirect...}return $next($request);}}
定义路由时可以通过使用 php : 分隔中间件名称和参数来指定中间件参数:
Route::put('/post/{id}', function (string $id) {// ...})->middleware('role:editor');
多个参数可以用逗号分隔:
Route::put('/post/{id}', function (string $id) {// ...})->middleware('role:editor,publisher');
可终止中间件
有时,中间件可能需要在 HTTP 响应发送到浏览器后执行一些工作。如果在中间件上定义了 php terminate 方法,并且 Web 服务器使用 FastCGI,则在响应发送到浏览器后将自动调用 php terminate 方法:
<?phpnamespace Illuminate\Session\Middleware;use Closure;use Illuminate\Http\Request;use Symfony\Component\HttpFoundation\Response;class TerminatingMiddleware{/*** Handle an incoming request.** @param \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response) $next*/public function handle(Request $request, Closure $next): Response{return $next($request);}/*** Handle tasks after the response has been sent to the browser.*/public function terminate(Request $request, Response $response): void{// ...}}
php terminate 方法应该接收请求和响应。定义可终止中间件后,您应该将其添加到应用程序的 php bootstrap/app.php 文件中的路由或全局中间件列表中。
当在中间件上调用 php terminate 方法时,Laravel 将从服务容器中解析中间件的新实例。如果您想在调用 php handle 和 php terminate 方法时使用相同的中间件实例,请使用容器的 php singleton 方法向容器注册中间件。通常,这应该在 php AppServiceProvider 的 php register 方法中完成:
use App\Http\Middleware\TerminatingMiddleware;/*** Register any application services.*/public function register(): void{$this->app->singleton(TerminatingMiddleware::class);}