本文详解如何在 Laravel 9 中通过自定义中间件,依据 users.role 字段值(如 "Admin" 或 "Driver")精细化控制路由访问权限,实现比基础 auth 更严格的访问隔离。
本文详解如何在 Laravel 9 中通过自定义中间件,依据 `users.role` 字段值(如 "Admin" 或 "Driver")精细化控制路由访问权限,实现比基础 `auth` 更严格的访问隔离。
在 Laravel 9 中,仅使用 auth 或 verified 中间件只能确保用户已登录且邮箱已验证,但无法区分不同角色的访问能力。例如,你希望 /user/create 路由仅对 role = 'Admin' 的用户开放,而普通 Driver 用户即使已登录也应被拒绝——此时需引入角色感知型中间件(Role-aware Middleware)。
✅ 步骤一:创建自定义中间件
运行 Artisan 命令生成中间件:
php artisan make:middleware IsAdmin
编辑 app/Http/Middleware/IsAdmin.php,完善 handle 方法逻辑(注意添加空值防护与 HTTP 响应适配):
<?php
namespace App\Http\Middleware;
use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Redirect;
class IsAdmin
{
public function handle(Request $request, Closure $next)
{
// 确保用户已认证(避免 $request->user() 为 null)
if (! $request->user()) {
return Redirect::route('login')->with('error', '请先登录以继续操作。');
}
// 检查 role 字段是否为 'Admin'
if ($request->user()->role !== 'Admin') {
abort(403, '您没有权限执行此操作。');
}
return $next($request);
}
}? 提示:使用 abort(403) 可触发 Laravel 默认的 403 Forbidden 响应(配合 resources/views/errors/403.blade.php 自定义页面),比返回 JSON 更符合 Web 路由场景;若用于 API,则可改用 response()->json(..., 403)。
✅ 步骤二:注册并应用中间件
Laravel 9 默认已自动发现中间件,无需手动在 app/Http/Kernel.php 中注册(除非需全局或分组使用)。直接在路由中链式调用即可:
// routes/web.php
Route::middleware(['auth', 'verified'])->group(function () {
Route::get('/users', App\Http\Livewire\User\Index::class)->name('users.index');
Route::get('/user/{user}/edit', App\Http\Livewire\User\Edit::class)->name('user.edit');
// ✅ 仅 Admin 可访问创建页
Route::get('/user/create', App\Http\Livewire\User\Create::class)
->middleware(IsAdmin::class)
->name('user.create');
});你也可以将多个中间件组合使用(顺序敏感):
->middleware(['auth', 'verified', IsAdmin::class])
✅ 进阶建议:提升可维护性与扩展性
- 避免硬编码角色值:在 App\Enums\Role.php 中定义枚举(PHP 8.1+)或配置常量,便于统一管理和 IDE 提示;
- 支持多角色授权:如需同时允许 'Admin' 和 'SuperAdmin',可改为:
if (! in_array($request->user()->role, ['Admin', 'SuperAdmin'])) { ... } - 结合 Laravel Gates(推荐):更语义化、可复用、支持策略绑定。在 AuthServiceProvider@boot 中定义:
Gate::define('create-user', function ($user) { return $user->role === 'Admin'; });然后在控制器或中间件中使用 abort_unless(auth()->user()->can('create-user'), 403);,或在 Blade 中用 @can('create-user') 控制 UI 元素。
⚠️ 注意事项
- 确保 User 模型中的 role 字段已正确迁移且非空(建议设为 NOT NULL DEFAULT 'Driver');
- 若使用 Livewire 组件(如本例),中间件仅保护初始 HTTP 请求;Livewire 的后续 AJAX 调用需额外通过 authorize() 方法或 $this->authorize('create-user') 校验;
- 不要仅依赖前端隐藏按钮或链接——服务端中间件是权限控制的唯一可信防线。
通过以上方式,你就能在 Laravel 9 中安全、清晰、可扩展地实现基于数据库字段的角色级路由保护,真正践行“最小权限原则”。
