Laravel 中实现访客友好且强制登录用户邮箱验证的策略

本文详细介绍了在 Laravel 应用中实现灵活邮箱验证的策略。通过创建自定义中间件，我们能够确保所有已登录用户在访问网站任何页面前必须完成邮箱验证，同时允许未登录访客自由浏览公共内容，解决了标准 `verified` 中间件的局限性，实现了兼顾用户体验与安全性的邮箱验证流程。

在 Laravel 应用程序开发中，邮箱验证是确保用户身份真实性和安全性的重要环节。Laravel 提供了开箱即用的邮箱验证功能，并通过 verified 中间件来保护需要验证的路由。然而，在某些场景下，我们可能面临一个特殊需求：网站的某些页面允许访客（未登录用户）访问，但一旦用户登录，无论访问任何页面（包括那些访客可访问的公共页面），都必须先完成邮箱验证。

Laravel 内置的 verified 中间件在此场景下存在局限性。它首先会检查用户是否已认证（即是否已登录），如果用户未登录，它会直接将请求重定向到登录页面，从而阻止访客访问公共页面。这与我们“访客可访问，登录用户强制验证”的需求相悖。为了解决这一问题，我们需要创建一个自定义中间件。

理解 Laravel 默认邮箱验证的局限性

Laravel 的 verified 中间件（对应的类是 Illuminate\Auth\Middleware\EnsureEmailIsVerified）的核心逻辑是：

1. 检查当前请求的用户是否已认证。
2. 如果已认证，则检查该用户是否实现了 MustVerifyEmail 接口且其邮箱是否已验证。
3. 如果用户已认证但邮箱未验证，则重定向到邮箱验证通知页面。
4. 如果用户未认证，则重定向到登录页面。

正是第四点行为，导致我们无法将 verified 中间件直接应用于访客可访问的公共路由，因为它会强制访客登录。

解决方案：创建自定义中间件

为了实现我们的目标，我们需要一个能够区分访客和已登录用户的中间件。这个中间件的逻辑应该如下：

1. 如果用户未登录（即是访客），则直接允许请求通过，不进行任何邮箱验证检查。
2. 如果用户已登录，则像 verified 中间件一样，检查其邮箱是否已验证。
3. 如果已登录但邮箱未验证，则重定向到邮箱验证通知页面。
4. 如果已登录且邮箱已验证，则允许请求通过。

实现自定义中间件

首先，通过 Artisan 命令创建一个新的中间件：

php artisan make:middleware EnsureEmailIsVerifiedUnlessGuest

这会在 app/Http/Middleware 目录下生成 EnsureEmailIsVerifiedUnlessGuest.php 文件。编辑该文件，修改其 handle 方法如下：

堆友

Alibaba Design打造的设计师全成长周期服务平台，旨在成为设计师的好朋友

306

查看详情

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Contracts\Auth\MustVerifyEmail;
use Illuminate\Support\Facades\Redirect;
use Illuminate\Support\Facades\URL;

class EnsureEmailIsVerifiedUnlessGuest
{
    /**
     * 处理传入的请求。
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure(\Illuminate\Http\Request): (\Illuminate\Http\Response|\Illuminate\Http\RedirectResponse)  $next
     * @param  string|null  $redirectToRoute
     * @return \Illuminate\Http\Response|\Illuminate\Http\RedirectResponse|null
     */
    public function handle($request, Closure $next, $redirectToRoute = null)
    {
        // 检查用户是否已认证，并且是否需要进行邮箱验证
        // $request->user() 为 null 表示用户未登录（访客），此时直接放行
        if ($request->user() &&
            ($request->user() instanceof MustVerifyEmail &&
            ! $request->user()->hasVerifiedEmail())) {
            // 如果用户已登录但邮箱未验证，则重定向到验证通知页面
            return $request->expectsJson()
                    ? abort(403, '您的邮箱地址尚未验证。')
                    : Redirect::guest(URL::route($redirectToRoute ?: 'verification.notice'));
        }

        // 用户未登录、或已登录且邮箱已验证，则允许请求继续
        return $next($request);
    }
}

代码解析：

• $request->user(): 这是关键部分。如果用户未登录，此方法将返回 null。在 if 条件中，$request->user() 会被评估为 false，从而跳过内部的验证逻辑，直接执行 return $next($request);，允许访客访问。
• $request->user() instanceof MustVerifyEmail: 确保当前认证用户模型实现了 MustVerifyEmail 接口。Laravel 默认的用户模型 App\Models\User 已经实现了这个接口。
• ! $request->user()->hasVerifiedEmail(): 检查已登录用户的邮箱是否尚未验证。
• Redirect::guest(URL::route($redirectToRoute ?: 'verification.notice')): 如果用户已登录但邮箱未验证，则将其重定向到邮箱验证通知页面。$redirectToRoute ?: 'verification.notice' 允许你在应用中间件时指定重定向路由，否则默认为 Laravel 提供的 verification.notice 路由。Redirect::guest() 在这里的作用是利用 Laravel 的会话管理机制，将用户重定向到指定位置。

注册与应用中间件

创建完自定义中间件后，需要将其注册到 app/Http/Kernel.php 文件的 $routeMiddleware 数组中，以便可以在路由中使用简短的别名。

打开 app/Http/Kernel.php 文件，在 $routeMiddleware 数组中添加一行：

// app/Http/Kernel.php

protected $routeMiddleware = [
    // ... 其他中间件

    'auth' => \App\Http\Middleware\Authenticate::class,
    'auth.session' => \Illuminate\Session\Middleware\AuthenticateSession::class,
    'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
    'password.confirm' => \App\Http\Middleware\EnsurePasswordIsConfirmed::class,
    'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
    'verified' => \Illuminate\Auth\Middleware\EnsureEmailIsVerified::class,

    // 注册我们自定义的中间件
    'verified-or-guest' => \App\Http\Middleware\EnsureEmailIsVerifiedUnlessGuest::class,
];

现在，你可以在你的路由定义中使用 verified-or-guest 这个别名了。为了满足“所有已登录用户在访问网站任何页面前必须完成邮箱验证”的需求，你应该将这个中间件应用到你网站的大部分或所有路由组上，或者至少是那些可能被已登录用户访问的路由。

示例：应用到路由

use Illuminate\Support\Facades\Route;

// 访客和已登录用户都可以访问的公共页面
Route::get('/', function () {
    return view('welcome');
})->middleware('verified-or-guest'); // 应用自定义中间件

Route::get('/posts/{id}', function ($id) {
    return "This is post " . $id;
})->middleware('verified-or-guest'); // 应用自定义中间件

// 对于需要登录才能访问的页面，你也可以使用它，或者结合 'auth' 中间件
Route::middleware(['auth', 'verified-or-guest'])->group(function () {
    Route::get('/dashboard', function () {
        return view('dashboard');
    });
    // ... 其他需要认证和验证的路由
});

通过这种方式，当访客访问 / 或 /posts/1 时，verified-or-guest 中间件会检测到没有认证用户，直接放行。而当一个已登录但未验证邮箱的用户访问这些页面时，他们将被重定向到邮箱验证通知页面。

核心逻辑解析与注意事项

• 访客处理：if ($request->user()) 是处理访客的关键。当没有认证用户时，$request->user() 返回 null，条件不满足，中间件直接调用 $next($request) 放行请求。
• 认证用户处理：一旦 if ($request->user()) 为真，中间件就会对已认证用户执行标准的邮箱验证检查。
• 重定向目标：Redirect::guest(URL::route($redirectToRoute ?: 'verification.notice')) 确保了未验证用户被引导到正确的验证流程。你可以根据需要修改 verification.notice 为其他自定义路由。
• 全局应用：如果你希望将此策略应用到几乎所有路由，可以考虑将其添加到 app/Http/Kernel.php 的 $middlewareGroups 数组中的 web 组，或者创建一个新的路由组来包含它。但请谨慎操作，确保不会意外地阻止某些特殊路由。
• 用户体验：当用户被重定向到验证通知页面时，请确保该页面提供了清晰的指示，告诉用户如何完成邮箱验证（例如，重新发送验证邮件的链接）。
• API 响应：在 handle 方法中，$request->expectsJson() ? abort(403, '您的邮箱地址尚未验证。') : ... 部分确保了对于 API 请求，会返回一个 JSON 格式的 403 错误，而不是重定向，这符合 RESTful API 的最佳实践。

总结

通过创建 EnsureEmailIsVerifiedUnlessGuest 这样的自定义中间件，我们成功地解决了 Laravel 中邮箱验证的特定场景需求：既允许访客自由访问公共内容，又强制所有已登录用户在访问网站任何部分前完成邮箱验证。这种方法提供了极大的灵活性，使得开发者能够更好地平衡用户体验、安全性和业务逻辑。遵循本文的步骤，你将能够轻松地在你的 Laravel 应用中实现这一高级的邮箱验证策略。

以上就是Laravel 中实现访客友好且强制登录用户邮箱验证的策略的详细内容，更多请关注php中文网其它相关文章！