本文详细介绍了在 Laravel 应用中集成 Mollie 等支付平台的 Webhook 时,如何解决 Webhook 未触发的问题。核心原因通常是 Laravel 默认的 CSRF 保护机制阻止了外部 POST 请求。教程将指导您通过配置 `VerifyCsrfToken` 中间件,为特定的 Webhook 路由添加豁免,确保 Webhook 正常接收并处理支付回调,从而实现交易状态的实时更新。
在现代 Web 应用中,Webhook 扮演着至关重要的角色,尤其是在处理第三方服务(如支付网关 Mollie)的异步通知时。通过 Webhook,外部服务可以在特定事件发生时(例如支付成功、退款)主动向您的应用发送数据,从而实现交易状态的实时更新。
然而,Laravel 框架为了增强应用程序的安全性,默认对所有通过 POST 请求发送到应用程序的表单数据都启用了 CSRF (Cross-Site Request Forgery) 保护。CSRF 保护的原理是要求每个 POST 请求都包含一个由 Laravel 生成并验证的 CSRF 令牌。这个令牌通常嵌入在 HTML 表单中,用于确保请求来源于您的应用程序本身,而非恶意第三方网站。
当外部服务(如 Mollie API)向您的 Laravel 应用发送 Webhook 请求时,这些请求是纯粹的 HTTP POST 请求,它们并不会包含 Laravel 应用程序生成的 CSRF 令牌。因此,Laravel 默认的 VerifyCsrfToken 中间件会拦截并拒绝这些缺乏 CSRF 令牌的请求,导致您的 Webhook 处理器无法被调用,从而无法及时处理支付回调或事件通知。
在解决 CSRF 问题之前,我们首先需要确保 Mollie 支付集成中正确配置了 Webhook URL,并且 Laravel 应用中也定义了对应的路由和控制器方法。
1. Mollie 支付创建时的 Webhook URL 配置
当您通过 Mollie API 创建支付时,需要指定一个 webhookUrl。这个 URL 将是 Mollie 在支付状态变更时发送通知的地址。
public function order()
{
$user = Auth::user();
$payment = Mollie::api()->payments()->create([
'amount' => [
'currency' => 'EUR',
'value' => number_format($this->service->price, 2, '.', '')
],
'description' => 'Order #' . Str::random(6),
'redirectUrl' => route('service.order.callback'),
'webhookUrl' => route('service.order.webhook'), // 确保此路由名称与实际定义匹配
'metadata' => [
'user' => [
'id' => $user->id,
'name' => $user->name,
],
'invoice' => [
'id' => 0
]
]
]);
return $this->redirect($payment->getCheckoutUrl(), 303);
}2. Laravel Webhook 路由定义
在您的 routes/web.php 或 routes/api.php 文件中,您需要定义一个 POST 路由来接收 Mollie 发送的 Webhook 请求。这个路由的名称应该与上面 webhookUrl 中使用的 route() 函数参数一致。
// routes/web.php
Route::post('/service/order/webhook', [\App\Http\Controllers\Payment\InvoiceController::class, 'webhook'])->name('service.order.webhook');3. Webhook 控制器方法
对应的控制器方法将负责处理 Mollie 发送过来的数据。在这里,您通常会验证请求、获取支付 ID、查询 Mollie API 获取最新的支付状态,并根据状态更新您的数据库。
namespace App\Http\Controllers\Payment;
use Illuminate\Http\Request;
use App\Models\Payment\Invoice;
use Carbon\Carbon;
use Illuminate\Routing\Controller; // 确保引入 Controller
class InvoiceController extends Controller
{
public function webhook(Request $request)
{
// 建议:首先记录收到的所有请求数据,方便调试
\Log::info('Mollie Webhook received:', $request->all());
// 实际应用中,您应该验证 Webhook 请求的签名,以确保其来自 Mollie
// 例如:https://docs.mollie.com/reference/webhooks/verify-webhook-requests
$paymentId = $request->input('id'); // Mollie Webhook 通常会发送一个 payment ID
if (!$paymentId) {
\Log::warning('Mollie Webhook: No payment ID found in request.');
return response('Bad Request', 400);
}
try {
// 通过 Mollie API 获取最新的支付状态
$payment = Mollie::api()->payments()->get($paymentId);
if ($payment->isPaid() && !$payment->hasRefunds() && !$payment->isChargeback()) {
// 支付成功逻辑
// 查找或创建发票,更新订单状态等
$invoice = Invoice::firstOrCreate(
['payment_id' => $paymentId], // 假设 payment_id 是唯一的
[
'status' => 'paid',
'number' => 'INV-' . Str::random(8), // 生成一个唯一的发票号
'date' => Carbon::now(),
'billing_detail_id' => $payment->metadata->user->id ?? 1, // 从 metadata 获取用户ID
// 其他相关字段
]
);
// 更新现有发票状态
if ($invoice->wasRecentlyCreated === false && $invoice->status !== 'paid') {
$invoice->update(['status' => 'paid']);
}
\Log::info("Payment {$paymentId} successfully processed. Invoice ID: {$invoice->id}");
} elseif ($payment->isFailed() || $payment->isCanceled()) {
// 支付失败或取消逻辑
\Log::warning("Payment {$paymentId} failed or cancelled. Status: {$payment->status}");
// 更新相关订单或发票状态
}
// 其他状态处理...
} catch (\Mollie\Api\Exceptions\ApiException $e) {
\Log::error("Mollie API Error for payment {$paymentId}: " . $e->getMessage());
return response('Internal Server Error', 500);
} catch (\Exception $e) {
\Log::error("Webhook processing error for payment {$paymentId}: " . $e->getMessage());
return response('Internal Server Error', 500);
}
// 必须返回 200 OK 响应,告知 Mollie 您的应用已成功接收并处理了 Webhook
return response('OK', 200);
}
}解决 Webhook 未触发问题的核心在于,将您的 Webhook 路由从 Laravel 的 CSRF 验证中豁免。
1. 定位 VerifyCsrfToken 中间件
打开文件 app/Http/Middleware/VerifyCsrfToken.php。这是 Laravel 默认的 CSRF 保护中间件。
2. 修改 $except 数组
在该文件中,您会找到一个名为 $except 的受保护数组。这个数组用于定义不需要进行 CSRF 验证的 URI 路径。将您的 Webhook 路由添加到这个数组中。
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;
class VerifyCsrfToken extends Middleware
{
/**
* The URIs that should be excluded from CSRF verification.
*
* @var array<int, string>
*/
protected $except = [
// 添加您的 Mollie Webhook 路由到此数组
'/service/order/webhook',
// 如果有其他外部服务需要调用您的 POST 路由,也应在此处添加
];
}重要注意事项:
完成上述修改后,Mollie 发送的 Webhook 请求将不再被 CSRF 保护中间件拦截,从而能够正常触发您的控制器方法。
为了确保您的 Webhook 处理系统稳定、安全且高效,请考虑以下最佳实践和调试技巧:
安全性验证:
响应处理:
日志记录:
本地开发与测试:
错误处理:
解决 Laravel Webhook 未触发问题的关键在于理解 CSRF 保护机制,并为特定的 Webhook 路由配置 CSRF 豁免。通过在 app/Http/Middleware/VerifyCsrfToken.php 文件的 $except 数组中添加 Webhook 路由,您可以确保外部服务能够成功将事件通知发送到您的 Laravel 应用。同时,结合安全性验证、快速响应、幂等性处理和详细日志记录等最佳实践,能够构建一个稳定、安全且高效的 Webhook 处理系统,确保您的应用程序能够实时响应外部事件。
以上就是解决 Laravel Webhook 未触发问题:正确配置 CSRF 保护豁免的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
124
收藏
