本文详解如何在 Laravel 9 中通过自定义中间件,根据 users 表中任意字段(如 role 字符串值)精确控制路由访问权限,例如仅允许 role = 'Admin' 的用户访问 /user/create。方法轻量、可复用、符合 Laravel 最佳实践。
本文详解如何在 Laravel 9 中通过自定义中间件,根据 `users` 表中任意字段(如 `role` 字符串值)精确控制路由访问权限,例如仅允许 `role = 'Admin'` 的用户访问 `/user/create`。方法轻量、可复用、符合 Laravel 最佳实践。
在 Laravel 9 中,Auth 中间件仅确保用户已登录,但无法按业务字段(如 role、type、status 等)做细粒度授权。此时,自定义中间件是最清晰、最可控的解决方案——它不依赖第三方包,不修改核心认证逻辑,且与 Livewire、Inertia 或传统 Blade 项目完全兼容。
✅ 步骤一:创建中间件
运行 Artisan 命令生成中间件:
php artisan make:middleware IsAdmin
编辑 app/Http/Middleware/IsAdmin.php,在 handle 方法中添加角色校验逻辑:
<?php
namespace App\Http\Middleware;
use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
class IsAdmin
{
public function handle(Request $request, Closure $next)
{
// 确保用户已认证(Auth middleware 已前置,此步为双重保障)
if (!Auth::check()) {
return redirect()->route('login');
}
$user = Auth::user();
// 关键:根据数据库字段值判断权限(支持字符串、枚举、整型等)
if ($user->role !== 'Admin') {
abort(403, 'Unauthorized action: Admin role required.');
}
return $next($request);
}
}? 提示:使用 === 严格比较避免类型混淆;abort(403) 会自动渲染 resources/views/errors/403.blade.php(建议自定义该视图提升用户体验)。
✅ 步骤二:注册并应用中间件
Laravel 9 默认已自动注册中间件别名(无需手动添加到 $routeMiddleware),可直接在路由中引用类名:
// routes/web.php
use App\Http\Middleware\IsAdmin;
Route::middleware(['auth', 'verified'])->group(function () {
Route::get('/users', App\Http\Livewire\User\Index::class)->name('users.index');
Route::get('/user/{user}/edit', App\Http\Livewire\User\Edit::class)->name('user.edit');
// ✅ 仅 Admin 可访问创建页
Route::get('/user/create', App\Http\Livewire\User\Create::class)
->middleware(IsAdmin::class)
->name('user.create');
});✅ 进阶:支持多角色 & 可配置化(推荐)
若未来需支持 'Admin'、'Editor'、'Support' 多角色,建议升级为参数化中间件:
- 修改中间件构造函数与 handle:
// app/Http/Middleware/HasRole.php
public function __construct(private array $allowedRoles) {}
public function handle(Request $request, Closure $next)
{
if (!Auth::check() || !in_array(Auth::user()->role, $this->allowedRoles)) {
abort(403, 'Insufficient role privileges.');
}
return $next($request);
}- 在 app/Http/Kernel.php 中注册别名(便于路由调用):
protected $middlewareAliases = [
// ... 其他中间件
'role' => \App\Http\Middleware\HasRole::class,
];- 路由中使用带参数语法:
Route::get('/user/create', App\Http\Livewire\User\Create::class)
->middleware('role:Admin,Editor')
->name('user.create');⚠️ 注意事项与最佳实践
- 顺序很重要:middleware(['auth', 'verified', 'IsAdmin']) 中,auth 必须在前,否则 Auth::user() 将为 null;
- 字段安全性:确保 role 字段不可被用户篡改(如禁用前端隐藏字段、模型 $fillable 不包含 role);
- Livewire 兼容性:该中间件对 Livewire 组件路由完全有效;若组件内含敏感操作(如删除),仍需在组件 mount() 或方法中二次校验,防止绕过路由层;
- 性能考虑:单次请求仅查询一次用户数据,无额外 N+1 查询问题;
- 替代方案对比:
- ❌ 不推荐条件式注册路由(如 if ($user->role === 'Admin') Route::get(...))——违反路由缓存机制,且 web.php 中无法获取当前用户;
- ❌ 避免在控制器中 abort(403) —— 路由保护应前置,而非后置拦截。
通过以上方式,你不仅实现了精准的基于字段值的路由保护,还为后续扩展(如 RBAC、权限节点控制)打下坚实基础。简洁、可靠、原生 Laravel 风格——这正是 Laravel 9 授权设计的精髓所在。
