注册自定义中间件需先在app/Http/Kernel.php的$routeMiddleware中声明别名(如'auth.check' => \App\Http\Middleware\CheckAuth::class),再在路由或控制器中引用;handle方法必须显式return响应或$next($request),否则请求中断。
如何注册自定义中间件到 Laravel 路由或控制器
自定义中间件必须先注册,否则 app/Http/Kernel.php 不认识它,路由里用 middleware 会报 Class not found 错误。
注册分两步:先在 app/Http/Kernel.php 中声明别名,再在路由或控制器中引用该别名。
- 在
$routeMiddleware数组里添加键值对,例如:'auth.check' => \App\Http\Middleware\CheckAuth::class - 别名不能含点号(
.)以外的特殊字符,推荐用小写+点号分隔,如permission.update - 如果想全局生效(所有请求都走),加到
$middleware数组,但慎用——会影响性能且可能拦截静态资源 - 控制器构造函数中绑定中间件需用
$this->middleware('auth.check'),不是数组形式
Laravel 中间件 handle 方法里怎么终止请求并返回响应
中间件不 return 就等于没拦截,Laravel 会继续往下执行后续中间件和控制器。常见错误是只写了逻辑判断,却忘了 return 响应对象。
终止请求必须显式 return 一个 Response 实例(或兼容响应的内容),不能只用 abort() 或 dd() —— 后者会中断整个流程但不返回 HTTP 响应,前端收不到状态码。
public function handle($request, Closure $next)
{
if (! $request->user() || ! $request->user()->hasRole('admin')) {
return response()->json(['message' => 'Forbidden'], 403);
}
return $next($request);
}
-
response()->json()、redirect()、view()都是合法返回值 - 不要在
handle里调用exit或die,会绕过 Laravel 的异常处理和事件调度 - 若需重定向登录页,用
return redirect()->guest('login')比硬编码 URL 更安全
权限校验类中间件如何动态读取路由参数或控制器方法
单纯判断用户是否登录不够,真实权限常依赖当前操作的资源 ID 或控制器动作(比如只允许编辑自己创建的文章)。这时需要从请求中提取上下文。
Laravel 的 $request 对象能拿到路由参数、查询参数、请求体,甚至通过反射获取控制器和方法名,但要注意时机——路由已解析完才可用 $request->route()。
- 获取当前路由参数:
$request->route('id')(假设路由定义为post/{id}) - 获取当前控制器和方法:
$request->route()->getControllerName()和$request->route()->getActionName() - 检查请求是否为特定 HTTP 方法:
$request->isMethod('PUT')或$request->method() === 'DELETE' - 避免在中间件里查数据库做复杂权限判断,建议预加载或缓存策略,否则每次请求都查库会拖慢响应
为什么中间件里 $next($request) 放错位置会导致 500 或空白响应
把 $next($request) 写在条件分支外但没包在 else 里,或者放在 return 后面,PHP 会报 Fatal error: Uncaught Error: Call to a member function send() on null,因为 Laravel 最终没收到响应对象。
典型错误写法:
if ($user->can('delete')) {
// 忘了 return $next($request);
}
// 这里没有 else,也没有 return,流程走到末尾时函数无返回值
- 每个分支路径最终都必须有
return:要么返回响应,要么返回$next($request) - 不要在
if块里只写逻辑、不 return,也不要在else里漏掉$next - 调试时可在
handle开头加Log::debug('middleware hit'),确认是否真的执行到了
中间件链是线性的,少一次 return $next() 就断在那一环,后面所有中间件和控制器都不会执行。这个细节在嵌套多层权限校验时特别容易被忽略。
