中间件

介绍

中间件提供了一种方便的机制，用于检查和过滤进入您的应用程序的HTTP请求。例如，Laravel 包括一个中间件，用于验证应用程序用户是否已经进行了身份验证。如果用户没有进行身份验证，中间件将重定向用户到应用程序的登录界面。但是，如果用户已经进行身份验证，则中间件将允许请求进一步进入应用程序。

除了身份验证之外，可以编写其他中间件执行各种任务。例如，记录中间件可能会记录到您的应用程序的所有传入请求。Laravel 框架中包含了一些中间件，包括身份验证和 CSRF 保护的中间件。所有这些中间件都位于 app/Http/Middleware 目录中。

定义中间件

要创建新的中间件，可以使用 make:middleware Artisan命令：

php artisan make:middleware EnsureTokenIsValid

该命令会在 app/Http/Middleware 目录中创建一个新的 EnsureTokenIsValid 类。在这个中间件中，我们只允许访问路由，如果提供的 token 输入匹配指定值。否则，我们将重定向用户回到 home URI：

<?php
 
namespace App\Http\Middleware;
 
use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;
 
class EnsureTokenIsValid
{
    /**
     * 处理传入的请求。
     *
     * @param  \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response)  $next
     */
    public function handle(Request $request, Closure $next): Response
    {
        if ($request->input('token') !== 'my-secret-token') {
            return redirect('home');
        }
 
        return $next($request);
    }
}

如您所见，如果给定的 toekn 不匹配我们的秘密令牌，则该中间件将向客户端返回 HTTP 重定向；否则，请求将继续传递到应用程序。要将请求传递到应用程序中（允许中间件“通过”），应调用具有 $request 的 $next 回调。

最好将中间件视为HTTP请求在到达应用程序之前必须经过的一系列“层”。每一层都可以检查请求并完全拒绝它。

所有中间件都通过服务容器解析，因此您可以在中间件的构造函数中对需要的任何依赖项进行类型提示。

中间件 & 响应

当然，中间件可以在请求进入应用程序之前或之后执行任务。例如，以下中间件将在请求由应用程序处理之前执行某些任务：

<?php
 
namespace App\Http\Middleware;
 
use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;
 
class BeforeMiddleware
{
    public function handle(Request $request, Closure $next): Response
    {
        // 执行某些操作
 
        return $next($request);
    }
}

然而，这个中间件将在请求由应用程序处理之后执行其任务：

<?php
 
namespace App\Http\Middleware;
 
use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;
 
class AfterMiddleware
{
    public function handle(Request $request, Closure $next): Response
    {
        $response = $next($request);
 
        // 执行某些操作
 
        return $response;
    }
}

注册中间件

全局中间件

如果你希望一个中间件在你应用的每个 HTTP 请求中都会运行，可以将中间件类名列在 app/Http/Kernel.php 文件中的 $middleware 属性中。

将中间件分配到路由

如果你想将中间件分配到特定的路由，可以在定义路由时使用 middleware 方法：

use App\Http\Middleware\Authenticate;
 
Route::get('/profile', function () {
    // ...
})->middleware(Authenticate::class);

你可以通过将一个中间件名的数组传递给 middleware 方法来将多个中间件分配给路由：

Route::get('/', function () {
    // ...
})->middleware([First::class, Second::class]);

为方便起见，你可以在你应用的 app/Http/Kernel.php 文件中为中间件分配别名。默认情况下，这个类的 $middlewareAliases 属性包含 Laravel 自带的中间件。你可以将自己的中间件添加到列表中，并为其分配一个自定义别名：

// Within App\Http\Kernel class...
 
protected $middlewareAliases = [
    'auth' => \App\Http\Middleware\Authenticate::class,
    'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
    'bindings' => \Illuminate\Routing\Middleware\SubstituteBindings::class,
    'cache.headers' => \Illuminate\Http\Middleware\SetCacheHeaders::class,
    'can' => \Illuminate\Auth\Middleware\Authorize::class,
    'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
    'signed' => \Illuminate\Routing\Middleware\ValidateSignature::class,
    'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
    'verified' => \Illuminate\Auth\Middleware\EnsureEmailIsVerified::class,
];

一旦中间件别名在 HTTP kernel 中被定义，你就可以在将中间件分配到路由时使用该别名：

Route::get('/profile', function () {
    // ...
})->middleware('auth');

排除中间件

当为一组路由分配中间件时，您可能需要在该组内的某个单独路由中防止应用中间件。您可以使用 withoutMiddleware 方法来实现这一点：

use App\Http\Middleware\EnsureTokenIsValid;
 
Route::middleware([EnsureTokenIsValid::class])->group(function () {
    Route::get('/', function () {
        // ...
    });
 
    Route::get('/profile', function () {
        // ...
    })->withoutMiddleware([EnsureTokenIsValid::class]);
});

您还可以从整个路由定义组中排除给定一组中间件：

use App\Http\Middleware\EnsureTokenIsValid;
 
Route::withoutMiddleware([EnsureTokenIsValid::class])->group(function () {
    Route::get('/profile', function () {
        // ...
    });
});

withoutMiddleware 方法仅适用于路由中间件，不适用于全局中间件。

中间件分组

有时您可能希望将多个中间件分组为一个键以便将它们更轻松地分配给路由。您可以使用 HTTP 内核的 $middlewareGroups 属性来完成这个任务。

Laravel 包括预定义的 web 和 api 中间件组，其中包含您可能想要应用于 Web 和 API 路由的常见中间件。请记住，这些中间件组由应用程序的 App\Providers\RouteServiceProvider 服务提供者自动应用于您对应的 Web 和 API 路由文件中的路由：

/**
 * The application's route middleware groups.
 *
 * @var array
 */
protected $middlewareGroups = [
    'web' => [
        \App\Http\Middleware\EncryptCookies::class,
        \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
        \Illuminate\Session\Middleware\StartSession::class,
        \Illuminate\View\Middleware\ShareErrorsFromSession::class,
        \App\Http\Middleware\VerifyCsrfToken::class,
        \Illuminate\Routing\Middleware\SubstituteBindings::class,
    ],
 
    'api' => [
        \Illuminate\Routing\Middleware\ThrottleRequests::class.':api',
        \Illuminate\Routing\Middleware\SubstituteBindings::class,
    ],
];

可以使用与单个中间件相同的语法将中间件组分配给路由和控制器操作。中间件组使得一次性将许多中间件分配到一个路由更加方便：

Route::get('/', function () {
    // ...
})->middleware('web');
 
Route::middleware(['web'])->group(function () {
    // ...
});

默认情况下，web 和 api 中间件组由 App\Providers\RouteServiceProvider 自动应用于应用程序的 routes/web.php 和 routes/api.php 文件中的相应路由。

中间件排序

在某些情况下，您可能需要让中间件按照特定的顺序执行，但当它们分配到路由时却无法控制它们的顺序。在这种情况下，您可以使用 $middlewarePriority 属性来指定中间件的优先级。这个属性可能在您的 app/Http/Kernel.php 文件中不存在。如果不存在，您可以复制下面的默认定义：

/**
 * The priority-sorted list of middleware.
 *
 * This forces non-global middleware to always be in the given order.
 *
 * @var string[]
 */
protected $middlewarePriority = [
    \Illuminate\Foundation\Http\Middleware\HandlePrecognitiveRequests::class,
    \Illuminate\Cookie\Middleware\EncryptCookies::class,
    \Illuminate\Session\Middleware\StartSession::class,
    \Illuminate\View\Middleware\ShareErrorsFromSession::class,
    \Illuminate\Contracts\Auth\Middleware\AuthenticatesRequests::class,
    \Illuminate\Routing\Middleware\ThrottleRequests::class,
    \Illuminate\Routing\Middleware\ThrottleRequestsWithRedis::class,
    \Illuminate\Contracts\Session\Middleware\AuthenticatesSessions::class,
    \Illuminate\Routing\Middleware\SubstituteBindings::class,
    \Illuminate\Auth\Middleware\Authorize::class,
];

中间件参数

中间件也可以接收额外的参数。例如，如果您的应用程序需要在执行特定操作之前验证已认证的用户具有给定的“角色”，则可以创建一个 EnsureUserHasRole 中间件，它作为额外的参数接收一个角色名称。

附加的中间件参数将在 $next 参数之后传递给中间件：

<?php
 
namespace App\Http\Middleware;
 
use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;
 
class EnsureUserHasRole
{
    /**
     * Handle an incoming request.
     *
     * @param  \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response)  $next
     */
    public function handle(Request $request, Closure $next, string $role): Response
    {
        if (! $request->user()->hasRole($role)) {
            // Redirect...
        }
 
        return $next($request);
    }
 
}

当定义路由时，中间件参数可以用冒号与中间件名称分隔开。多个参数应该用逗号分隔：

Route::put('/post/{id}', function (string $id) {
    // ...
})->middleware('role:editor');

终止中间件

有时候，中间件可能需要在 HTTP 响应已经发送到浏览器后执行一些操作。如果在你的中间件上定义了终止方法，并且你的 Web 服务器正在使用 FastCGI，则在响应发送到浏览器后，终止方法将自动被调用：

<?php
 
namespace Illuminate\Session\Middleware;
 
use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;
 
class TerminatingMiddleware
{
    /**
     * 处理传入的请求。
     *
     * @param  \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response)  $next
     */
    public function handle(Request $request, Closure $next): Response
    {
        return $next($request);
    }
 
    /**
     * 在响应已发送到浏览器后处理任务。
     */
    public function terminate(Request $request, Response $response): void
    {
        // ...
    }
}

terminate 方法应该接收请求和响应。一旦你定义了一个可终止的中间件，你应该将它添加到路由列表或全局中间件列表中，即在 app/Http/Kernel.php 文件中。

在调用中间件的 terminate 方法时，Laravel 将从服务容器中解析一个新的中间件实例。如果你想在处理和终止方法调用时使用相同的中间件实例，可以使用容器的 singleton 方法在容器中注册中间件。通常应该在 AppServiceProvider 的 register 方法中完成此操作：

use App\Http\Middleware\TerminatingMiddleware;
 
/**
 * 注册应用程序的任何服务。
 */
public function register(): void
{
    $this->app->singleton(TerminatingMiddleware::class);
}