注册自定义中间件需先在app/Http/Kernel.php的$routeMiddleware中声明别名(如'auth.check' => \App\Http\Middleware\CheckAuth::class),再在路由或控制器中引用;handle方法必须显式return响应或$next($request),否则请求中断。
自定义中间件必须先注册,否则 app/Http/Kernel.php 不认识它,路由里用 middleware 会报 Class not found 错误。
注册分两步:先在 app/Http/Kernel.php 中声明别名,再在路由或控制器中引用该别名。
400-7654-355 $routeMiddleware 数组里添加键值对,例如:'auth.check' => \App\Http\Middleware\CheckAuth::class
.)以外的特殊字符,推荐用小写+点号分隔,如 permission.update
$middleware 数组,但慎用——会影响性能且可能拦截静态资源$this->middleware('auth.check'),不是数组形式中间件不 return 就等于没拦截,Laravel 会继续往下执行后续中间件和控制器。常见错误是只写了逻辑判断,却忘了 return 响应对象。
终止请求必须显式 return 一个 Response 实例(或兼容响应的内容),不能只用 abort() 或 dd() —— 后者会中断整个流程但不返回 HTTP 响应,前端收不到状态码。
public function handle($request, Closure $next)
{
if (! $request->user() || ! $request->user()->hasRole('admin')) {
return response()->json(['message' => 'Forbidden'], 403);
}
return $next($request);
}
response()->json()、redirect()、view() 都是合法返回值handle 里调用 exit 或 die,会绕过 Laravel 的异常处理和事件调度
return redirect()->guest('login') 比硬编码 URL 更安全单纯判断用户是否登录不够,真实权限常依赖当前操作的资源 ID 或控制器动作(比如只允许编辑自己创建的文章)。这时需要从请求中提取上下文。
Laravel 的 $request 对象能拿到路由参数、查询参数、请求体,甚至通过反射获取控制器和方法名,但要注意时机——路由已解析完才可用 $request->route()。
$request->route('id')(假设路由定义为 post/{id})$request->route()->getControllerName() 和 $request->route()->getActionName()
$request->isMethod('PUT') 或 $request->method() === 'DELETE'
把 $next($request) 写在条件分支外但没包在 else 里,或者放在 return 后面,PHP 会报 Fatal error: Uncaught Error: Call to a member function send() on null,因为 Laravel 最终没收到响应对象。
典型错误写法:
if ($user->can('delete')) {
// 忘了 return $next($request);
}
// 这里没有 else,也没有 return,流程走到末尾时函数无返回值
return:要么返回响应,要么返回 $next($request)
if 块里只写逻辑、不 return,也不要在 else 里漏掉 $next
handle 开头加 Log::debug('middleware hit'),确认是否真的执行到了中间件链是线性的,少一次 return $next() 就断在那一环,后面所有中间件和控制器都不会执行。这个细节在嵌套多层权限校验时特别容易被忽略。
