中间件

介绍

中间件提供了一种方便的机制，用于检查和过滤进入应用程序的 HTTP 请求。例如，Laravel 包含一个中间件，它验证应用程序的用户是否已通过身份验证。如果用户未通过身份验证，该中间件将把用户重定向到应用程序的登录页面。然而，如果用户已通过身份验证，中间件将允许请求进一步进入应用程序。

除了身份验证，您还可以编写额外的中间件来执行各种任务。例如，一个日志中间件可能会记录所有进入应用程序的请求。Laravel 包含了多种中间件，包括身份验证和 CSRF 保护的中间件；然而，所有用户定义的中间件通常都位于应用程序的 app/Http/Middleware 目录下。

定义中间件

要创建一个新的中间件，可以使用 make:middleware Artisan 命令：

php artisan make:middleware EnsureTokenIsValid

此命令将在 app/Http/Middleware 目录下创建一个新的 EnsureTokenIsValid 类。在这个中间件中，我们只允许访问该路由，如果提供的 token 输入与指定的值匹配。否则，我们将用户重定向回 /home 路由：

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;

class EnsureTokenIsValid
{
    /**
     * 处理传入的请求。
     *
     * @param  \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response)  $next
     */
    public function handle(Request $request, Closure $next): Response
    {
        if ($request->input('token') !== 'my-secret-token') {
            return redirect('/home');
        }

        return $next($request);
    }
}

如您所见，如果提供的 token 不匹配我们的秘密 token，中间件将返回一个 HTTP 重定向响应；否则，请求将继续传递到应用程序中。要将请求进一步传递到应用程序（即允许中间件 “通过”），您应该调用 $next 回调并传递 $request。

可以将中间件想象为 HTTP 请求必须通过的一系列 “层”，在这些层中，您可以检查请求，甚至完全拒绝它。

所有中间件都通过【服务容器】解析，因此您可以在中间件的构造函数中类型提示您需要的任何依赖项。

中间件和响应

当然，中间件可以在请求进入应用程序之前或之后执行任务。例如，以下中间件将在请求被应用程序处理之前执行某些任务：

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;

class BeforeMiddleware
{
    public function handle(Request $request, Closure $next): Response
    {
        // 执行操作

        return $next($request);
    }
}

但是，下面的中间件将在请求被应用程序处理之后执行其任务：

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;

class AfterMiddleware
{
    public function handle(Request $request, Closure $next): Response
    {
        $response = $next($request);

        // 执行操作

        return $response;
    }
}

注册中间件

全局中间件

如果您希望某个中间件在每个 HTTP 请求中都运行，您可以将其附加到应用程序的全局中间件堆栈中，在应用程序的 bootstrap/app.php 文件中进行配置：

use App\Http\Middleware\EnsureTokenIsValid;

->withMiddleware(function (Middleware $middleware) {
    $middleware->append(EnsureTokenIsValid::class);
})

提供给 withMiddleware 闭包的 $middleware 对象是 Illuminate\Foundation\Configuration\Middleware 类的实例，负责管理分配给您应用程序路由的中间件。append 方法将中间件添加到全局中间件列表的末尾。如果您希望将中间件添加到列表的开头，应该使用 prepend 方法。

手动管理 Laravel 的默认全局中间件

如果您希望手动管理 Laravel 的全局中间件堆栈，您可以将 Laravel 的默认全局中间件堆栈传递给 use 方法。然后，您可以根据需要调整默认的中间件堆栈：

->withMiddleware(function (Middleware $middleware) {
    $middleware->use([
        \Illuminate\Foundation\Http\Middleware\InvokeDeferredCallbacks::class,
        // \Illuminate\Http\Middleware\TrustHosts::class,
        \Illuminate\Http\Middleware\TrustProxies::class,
        \Illuminate\Http\Middleware\HandleCors::class,
        \Illuminate\Foundation\Http\Middleware\PreventRequestsDuringMaintenance::class,
        \Illuminate\Http\Middleware\ValidatePostSize::class,
        \Illuminate\Foundation\Http\Middleware\TrimStrings::class,
        \Illuminate\Foundation\Http\Middleware\ConvertEmptyStringsToNull::class,
    ]);
})

将中间件分配给路由

如果您希望将中间件分配给特定的路由，可以在定义路由时调用 middleware 方法：

use App\Http\Middleware\EnsureTokenIsValid;

Route::get('/profile', function () {
    // ...
})->middleware(EnsureTokenIsValid::class);

你可以通过将中间件名称的数组传递给 middleware 方法，将多个中间件分配给路由：

Route::get('/', function () {
    // ...
})->middleware([First::class, Second::class]);

排除中间件

在将中间件分配给一组路由时，您可能需要防止中间件应用于该组中的某个单独路由。您可以使用 withoutMiddleware 方法来实现这一点：

use App\Http\Middleware\EnsureTokenIsValid;

Route::middleware([EnsureTokenIsValid::class])->group(function () {
    Route::get('/', function () {
        // ...
    });

    Route::get('/profile', function () {
        // ...
    })->withoutMiddleware([EnsureTokenIsValid::class]);
});

您还可以将某一【组】路由定义中的一组中间件排除掉：

use App\Http\Middleware\EnsureTokenIsValid;

Route::withoutMiddleware([EnsureTokenIsValid::class])->group(function () {
    Route::get('/profile', function () {
        // ...
    });
});

withoutMiddleware 方法仅能移除路由中间件，不能用于全局中间件。

中间件组

有时您可能希望将多个中间件分组为一个单独的键，以便更轻松地将它们分配给路由。您可以通过在应用程序的 bootstrap/app.php 文件中使用 appendToGroup 方法来实现这一点：

use App\Http\Middleware\First;
use App\Http\Middleware\Second;

->withMiddleware(function (Middleware $middleware) {
    $middleware->appendToGroup('group-name', [
        First::class,
        Second::class,
    ]);

    $middleware->prependToGroup('group-name', [
        First::class,
        Second::class,
    ]);
})

中间件组可以使用与单个中间件相同的语法分配给路由和控制器操作：

Route::get('/', function () {
    // ...
})->middleware('group-name');

Route::middleware(['group-name'])->group(function () {
    // ...
});

Laravel的默认中间件组

Laravel 包含预定义的 web 和 api 中间件组，这些组包含您可能希望应用于 Web 和 API 路由的常用中间件。请记住，Laravel 会自动将这些中间件组应用于相应的 routes/web.php 和 routes/api.php 文件：

web 中间件组：

Illuminate\Cookie\Middleware\EncryptCookies
Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse
Illuminate\Session\Middleware\StartSession
Illuminate\View\Middleware\ShareErrorsFromSession
Illuminate\Foundation\Http\Middleware\ValidateCsrfToken
Illuminate\Routing\Middleware\SubstituteBindings

api 中间件组：

Illuminate\Routing\Middleware\SubstituteBindings

如果您希望将中间件追加到这些组中，您可以在应用程序的 bootstrap/app.php 文件中使用 web 和 api 方法。web 和 api 方法是 appendToGroup 方法的便捷替代方式：

use App\Http\Middleware\EnsureTokenIsValid;
use App\Http\Middleware\EnsureUserIsSubscribed;

->withMiddleware(function (Middleware $middleware) {
    $middleware->web(append: [
        EnsureUserIsSubscribed::class,
    ]);

    $middleware->api(prepend: [
        EnsureTokenIsValid::class,
    ]);
})

您甚至可以使用自定义的中间件替换 Laravel 的默认中间件组中的某个条目：

use App\Http\Middleware\StartCustomSession;
use Illuminate\Session\Middleware\StartSession;

$middleware->web(replace: [
    StartSession::class => StartCustomSession::class,
]);

或者，您可以完全移除某个中间件：

$middleware->web(remove: [
    StartSession::class,
]);

手动管理 Laravel 的默认中间件组

如果您希望手动管理 Laravel 默认的 web 和 api 中间件组中的所有中间件，您可以完全重新定义这些组。以下示例将定义 web 和 api 中间件组及其默认中间件，并允许您根据需要进行自定义：

->withMiddleware(function (Middleware $middleware) {
    $middleware->group('web', [
        \Illuminate\Cookie\Middleware\EncryptCookies::class,
        \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
        \Illuminate\Session\Middleware\StartSession::class,
        \Illuminate\View\Middleware\ShareErrorsFromSession::class,
        \Illuminate\Foundation\Http\Middleware\ValidateCsrfToken::class,
        \Illuminate\Routing\Middleware\SubstituteBindings::class,
        // \Illuminate\Session\Middleware\AuthenticateSession::class,
    ]);

    $middleware->group('api', [
        // \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
        // 'throttle:api',
        \Illuminate\Routing\Middleware\SubstituteBindings::class,
    ]);
})

默认情况下，web 和 api 中间件组会通过 bootstrap/app.php 文件自动应用到你应用程序的相应路由文件 routes/web.php 和 routes/api.php 中。

中间件别名

您可以在应用程序的 bootstrap/app.php 文件中为中间件分配别名。中间件别名允许您为给定的中间件类定义一个简短的别名，这对于类名较长的中间件尤其有用：

use App\Http\Middleware\EnsureUserIsSubscribed;

->withMiddleware(function (Middleware $middleware) {
    $middleware->alias([
        'subscribed' => EnsureUserIsSubscribed::class
    ]);
})

一旦在应用程序的 bootstrap/app.php 文件中定义了中间件别名，您就可以在分配中间件到路由时使用该别名：

Route::get('/profile', function () {
    // ...
})->middleware('subscribed');

为了方便，Laravel 的一些内置中间件默认已经被分配了别名。例如，auth 中间件是 Illuminate\Auth\Middleware\Authenticate 中间件的别名。以下是默认中间件别名的列表：

别名	中间件
auth	Illuminate\Auth\Middleware\Authenticate
auth.basic	Illuminate\Auth\Middleware\AuthenticateWithBasicAuth
auth.session	Illuminate\Session\Middleware\AuthenticateSession
cache.headers	Illuminate\Http\Middleware\SetCacheHeaders
can	Illuminate\Auth\Middleware\Authorize
guest	Illuminate\Auth\Middleware\RedirectIfAuthenticated
password.confirm	Illuminate\Auth\Middleware\RequirePassword
precognitive	Illuminate\Foundation\Http\Middleware\HandlePrecognitiveRequests
signed	Illuminate\Routing\Middleware\ValidateSignature
subscribed	\Spark\Http\Middleware\VerifyBillableIsSubscribed
throttle	Illuminate\Routing\Middleware\ThrottleRequests or Illuminate\Routing\Middleware\ThrottleRequestsWithRedis
verified	Illuminate\Auth\Middleware\EnsureEmailIsVerified

别名

中间件

auth

Illuminate\Auth\Middleware\Authenticate

auth.basic

Illuminate\Auth\Middleware\AuthenticateWithBasicAuth

auth.session

Illuminate\Session\Middleware\AuthenticateSession

cache.headers

Illuminate\Http\Middleware\SetCacheHeaders

can

Illuminate\Auth\Middleware\Authorize

guest

Illuminate\Auth\Middleware\RedirectIfAuthenticated

password.confirm

Illuminate\Auth\Middleware\RequirePassword

precognitive

Illuminate\Foundation\Http\Middleware\HandlePrecognitiveRequests

signed

Illuminate\Routing\Middleware\ValidateSignature

subscribed

\Spark\Http\Middleware\VerifyBillableIsSubscribed

throttle

Illuminate\Routing\Middleware\ThrottleRequests or Illuminate\Routing\Middleware\ThrottleRequestsWithRedis

verified

Illuminate\Auth\Middleware\EnsureEmailIsVerified

排序中间件

在某些情况下，您可能需要确保中间件按照特定的顺序执行，但又无法控制它们在路由中分配的顺序。在这种情况下，您可以使用 priority 方法在应用程序的 bootstrap/app.php 文件中指定中间件的优先顺序：

->withMiddleware(function (Middleware $middleware) {
    $middleware->priority([
        \Illuminate\Foundation\Http\Middleware\HandlePrecognitiveRequests::class,
        \Illuminate\Cookie\Middleware\EncryptCookies::class,
        \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
        \Illuminate\Session\Middleware\StartSession::class,
        \Illuminate\View\Middleware\ShareErrorsFromSession::class,
        \Illuminate\Foundation\Http\Middleware\ValidateCsrfToken::class,
        \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
        \Illuminate\Routing\Middleware\ThrottleRequests::class,
        \Illuminate\Routing\Middleware\ThrottleRequestsWithRedis::class,
        \Illuminate\Routing\Middleware\SubstituteBindings::class,
        \Illuminate\Contracts\Auth\Middleware\AuthenticatesRequests::class,
        \Illuminate\Auth\Middleware\Authorize::class,
    ]);
})

通过这种方式，您可以确保中间件按照定义的优先顺序执行，即使它们在路由中分配的顺序不同。

中间件参数

中间件还可以接收额外的参数。例如，如果您的应用程序需要在执行某个操作之前验证已认证用户是否具有特定的 “角色”，您可以创建一个 EnsureUserHasRole 中间件，该中间件接收角色名称作为额外的参数。

额外的中间件参数将在 $next 参数之后传递给中间件：

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;

class EnsureUserHasRole
{
    /**
     * 处理传入的请求。
     *
     * @param  \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response)  $next
     */
    public function handle(Request $request, Closure $next, string $role): Response
    {
        if (! $request->user()->hasRole($role)) {
            // 重定向...
        }

        return $next($request);
    }

}

在定义路由时，可以通过用 : 分隔中间件名称和参数来指定中间件参数：

use App\Http\Middleware\EnsureUserHasRole;

Route::put('/post/{id}', function (string $id) {
    // ...
})->middleware(EnsureUserHasRole::class.':editor');

多个参数可以通过逗号分隔：

Route::put('/post/{id}', function (string $id) {
    // ...
})->middleware(EnsureUserHasRole::class.':editor,publisher');

可终结中间件

有时，中间件可能需要在 HTTP 响应发送到浏览器后执行一些工作。如果在中间件中定义了 terminate 方法，并且您的 Web 服务器使用 FastCGI，则在响应发送到浏览器后，terminate 方法将自动被调用：

<?php

namespace Illuminate\Session\Middleware;

use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;

class TerminatingMiddleware
{
    /**
     * 处理传入的请求。
     *
     * @param  \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response)  $next
     */
    public function handle(Request $request, Closure $next): Response
    {
        return $next($request);
    }

    /**
     * 在响应发送到浏览器后执行任务。
     */
    public function terminate(Request $request, Response $response): void
    {
        // ...
    }
}

terminate 方法应接收请求和响应对象。一旦定义了可终止的中间件，您应将其添加到应用程序的 bootstrap/app.php 文件中的路由或全局中间件列表中。

当调用中间件的 terminate 方法时，Laravel 会从【服务容器】中解析出中间件的新实例。如果您希望在调用 handle 和 terminate 方法时使用相同的中间件实例，可以使用容器的 singleton 方法将中间件注册到容器中。通常，这应该在 AppServiceProvider 的 register 方法中完成：

use App\Http\Middleware\TerminatingMiddleware;

/**
 * 注册任何应用程序服务。
 */
public function register(): void
{
    $this->app->singleton(TerminatingMiddleware::class);
}