Laravel 中间件

简介

中间件对进入应用程序的HTTP请求进行检查和过滤，是非常方便的。 例如，Laravel包含一个中间件，该中间件可以验证应用程序的用户是否已通过身份验证。 如果用户未通过身份验证，则中间件会将用户重定向到应用程序的登录屏幕。 如果用户通过了身份验证，则中间件将允许该请求进一步进入应用程序。

除身份验证外，还可以编写其他中间件来执行各种任务。 例如，日志记录中间件可能会将所有传入的请求记录到应用程序中。 Laravel框架中包含几种中间件，包括用于身份验证和CSRF保护的中间件。 所有这些中间件都位于app/Http/Middleware目录中。

定义中间件

可以使用Artisan命令make:middleware 生成一个中间件

$ php artisan make:middleware EnsureTokenIsValid

此命令将在app/Http/Middleware目录中创建一个新的ConfirmTokenIsValid类。 在此中间件中，仅当提供的token输入匹配指定值时，我们才允许访问路由。 否则，我们会将用户重定向回原始URI：

<?php

namespace App\Http\Middleware;

use Closure;

class EnsureTokenIsValid
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        if ($request->input('token') !== 'my-secret-token') {
            return redirect('home');
        }

        return $next($request);
    }
}

正像我们看到的，如果给定token与我们的指定的token不匹配，则中间件将向客户端返回HTTP重定向； 否则，该请求将进一步传递到应用程序中。 要将请求继续传递到应用程序中进行下一步验证或者操作（允许中间件“传递”），应使用$request调用$next回调。

最好将中间件设想为一系列HTTP请求在到达想要请求的路由之前必须经过的“关卡”。 每一关都可以检查该请求，甚至可以完全拒绝该请求。

所有中间件都是通过服务容器解析的，因此我们可以在中间件的构造函数中指定所需的任何依赖项。

中间件和响应

当然，中间件可以在将请求更深地传递到应用程序之前或之后执行特定的任务。 例如，以下中间件将在应用程序处理请求之前执行某些任务：

<?php

namespace App\Http\Middleware;
use Closure;
class BeforeMiddleware
{
    public function handle($request, Closure $next)
    {
        // Perform action
        return $next($request);
    }
}

中间件在应用程序处理请求后执行任务：

<?php

namespace App\Http\Middleware;

use Closure;

class AfterMiddleware
{
    public function handle($request, Closure $next)
    {
        $response = $next($request);

        // Perform action

        return $response;
    }
}

注册中间件

全局中间件

如果希望中间件在任何HTTP请求路由之前执行，而不是针对某一个路由或者一组路由。可以在app/Http/Kernel.php类的$middleware属性中列出中间件类。

给路由分配中间件

如果要将中间件分配给特定的路由，则应首先在应用程序的app/Http/Kernel.php文件中为中间件指定一个键名。 默认情况下，该类的$routeMiddleware数组包含Laravel自带的中间件。 我们可以将自己的中间件添加到此列表中，并为其分配一个键名：

// Within App\Http\Kernel class...

protected $routeMiddleware = [
    'auth' => \App\Http\Middleware\Authenticate::class,
    'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
    'bindings' => \Illuminate\Routing\Middleware\SubstituteBindings::class,
    'cache.headers' => \Illuminate\Http\Middleware\SetCacheHeaders::class,
    'can' => \Illuminate\Auth\Middleware\Authorize::class,
    'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
    'signed' => \Illuminate\Routing\Middleware\ValidateSignature::class,
    'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
    'verified' => \Illuminate\Auth\Middleware\EnsureEmailIsVerified::class,
];

我们的中间件在HTTP kernel中定义完成之后，我们就可以使用middleare方法给某个路由分配该中间件了。

Route::get('/profile', function () {
    //
})->middleware('auth');

同样，我们还可以给路由一次性分配多个中间件，这就需要给middleware方法传一个数组

Route::get('/', function () {
    //
})->middleware(['first', 'second']);

中间件的执行顺序，是按照数组中的先后顺序执行的

除了使用在HTTP kernel中指定的键名为路由分配中间件之外，还可以使用完整的中间件的类给路由分配中间件：

use App\Http\Middleware\EnsureTokenIsValid;

Route::get('/profile', function () {
    //
})->middleware(EnsureTokenIsValid::class);

将中间件分配给一组路由时，有时可能该组中的某一个路由并不需要该中间件，那我们可以使用withoutMiddleware方法完成此操作：

use App\Http\Middleware\EnsureTokenIsValid;

Route::middleware([EnsureTokenIsValid::class])->group(function () {
    Route::get('/', function () {
        //
    });

    Route::get('/profile', function () {
        //
    })->withoutMiddleware([EnsureTokenIsValid::class]);
});

withoutMiddleware 方法只是对使用middleware方法指定的中间件有效，对于app/Http/Kernel.php类的$middleware属性中列出的全局中间件是不起作用的。

中间件组

有时，我们可能希望将多个中间件归位一个组，给这个组分配一个键名，以使其更易于分配给路由。 可以使用HTTP内核的$middlewareGroups属性来完成此操作。

Laravel附带了web和api中间件组，其中包含我们可能要应用于Web和API路由的常见中间件。 请记住，这些中间件组由应用程序的App\Providers\RouteServiceProvider自动应用到相应的Web和api路由文件中的路由：

/**
 * The application's route middleware groups.
 *
 * @var array
 */
protected $middlewareGroups = [
    'web' => [
        \App\Http\Middleware\EncryptCookies::class,
        \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
        \Illuminate\Session\Middleware\StartSession::class,
        // \Illuminate\Session\Middleware\AuthenticateSession::class,
        \Illuminate\View\Middleware\ShareErrorsFromSession::class,
        \App\Http\Middleware\VerifyCsrfToken::class,
        \Illuminate\Routing\Middleware\SubstituteBindings::class,
    ],

    'api' => [
        'throttle:api',
        \Illuminate\Routing\Middleware\SubstituteBindings::class,
    ],
];

将中间件组分配给路由或者控制器的方法于分配单个中间件的方法是一样的。中间件组的方式使得给路由分配多个中间件变得非常方便：

Route::get('/', function () {
    //
})->middleware('web');

Route::middleware(['web'])->group(function () {
    //
});

中间件排序

这种情况很少，但是也会遇到。我们可能需要中间件以特定的顺序执行，但是当它们被分配给路由时却无法控制它们的顺序。 在这种情况下，可以使用app/Http/Kernel.php文件的$middlewarePriority属性指定中间件优先级。 默认情况下，HTTP Kernel 中可能不存在此属性。 如果不存在，则可以复制下面的代码，这是默认的顺序：

/**
 * The priority-sorted list of middleware.
 *
 * This forces non-global middleware to always be in the given order.
 *
 * @var array
 */
protected $middlewarePriority = [
    \Illuminate\Cookie\Middleware\EncryptCookies::class,
    \Illuminate\Session\Middleware\StartSession::class,
    \Illuminate\View\Middleware\ShareErrorsFromSession::class,
    \Illuminate\Contracts\Auth\Middleware\AuthenticatesRequests::class,
    \Illuminate\Routing\Middleware\ThrottleRequests::class,
    \Illuminate\Session\Middleware\AuthenticateSession::class,
    \Illuminate\Routing\Middleware\SubstituteBindings::class,
    \Illuminate\Auth\Middleware\Authorize::class,
];

中间件参数

中间件也可以接收其他参数。 例如，如果应用程序需要在执行给定操作之前验证经过身份验证的用户是否具有给定的“角色”，则可以创建一个SecureUserHasRole中间件，该中间件接收角色名称作为附加参数。

附加的中间件参数将在$next执行时之后传递给中间件：

<?php

namespace App\Http\Middleware;

use Closure;

class EnsureUserHasRole
{
    /**
     * Handle the incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @param  string  $role
     * @return mixed
     */
    public function handle($request, Closure $next, $role)
    {
        if (! $request->user()->hasRole($role)) {
            // Redirect...
        }
        return $next($request);
    }
}

在定义路由时，可以用冒号: 分隔中间件名称和参数来指定中间件参数。 多个参数应以逗号分隔：

Route::put('/post/{id}', function ($id) {
    //
})->middleware('role:editor');

终止中间件

有时，在将HTTP响应发送到浏览器之后，中间件可能需要做一些工作。 如果在中间件上定义了终止方法，并且Web服务器正在使用FastCGI，则将响应发送到浏览器后将自动调用终止方法：

<?php
namespace Illuminate\Session\Middleware;
use Closure;

class TerminatingMiddleware
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        return $next($request);
    }

    /**
     * Handle tasks after the response has been sent to the browser.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Illuminate\Http\Response  $response
     * @return void
     */
    public function terminate($request, $response)
    {
        // ...
    }
}

终止方法应同时接收请求和响应。 定义了可终止的中间件后，应将其添加到app/Http/Kernel.php文件中的路由或全局中间件列表中。

当在中间件上调用终止方法时，Laravel将从服务容器中解析中间件的新实例。 如果要在调用handle和终止方法时使用相同的中间件实例，请使用容器的singleton方法在容器中注册中间件。 通常，这应该在AppServiceProvider的register方法中完成：

use App\Http\Middleware\TerminatingMiddleware;

/**
 * Register any application services.
 *
 * @return void
 */
public function register()
{
    $this->app->singleton(TerminatingMiddleware::class);
}