13. 理解中间件Middleware - 从零开始学Laravel

什么是中间件Middleware？如果是第一次接触，可能一时间会不太明白. 我们先想一下一个请求的生命周期，通常是发起了一个Http请求，服务器处理这个请求，然后对请求进行返回(Response).

在服务器接收到请求，然后去执行业务逻辑之前，通常会需要判断这个请求是否是符合业务逻辑要求的，比如说，你的网站正在处于维护中，那么任何请求过来都不会让其进入到真正的业务逻辑，都是会直接返回503给用户，比如说我们之前说的用户发表评论的请求，当用户要发表一条评论，用户必须是处于登录过的状态的，如果发表评论的请求是未登录用户发出的，那么在请求进入业务逻辑前，就会返回未登录(403)。

像这样的情况会有很多，中间件做的就是这些事情，那么中间件就是处于路由和控制器之间的东西，当一条路由进来，先通过中间件进行判断，如果OK的，那么再进入控制器执行业务逻辑，如果不OK，那么就直接返回像503,403,404这些东东了。不知道这么说，大家能否理解。能感觉到意思就行，之后我们再通过代码来演示一下中间件。

再打个比方，中间件就像一层层的洋葱皮，请求需要通过这些洋葱皮，才能达到洋葱的中心(控制器中的具体业务逻辑)，一层洋葱皮就是一个中间件，所以对于一个请求，你可以使用很多个中间件。

因为有了中间件，你的控制器就能专注于业务逻辑，不用去考虑其他了，这样一来，控制器会干净很多。

那我们的中间件都放在哪里呢？ 在Laravel中给我们使用的有两个 Kernel.php 文件，一个位于 app/Http/Kernel.php , 另一个位于 app/Console/Kernel.php ， 前面这个是用来处于web端Http请求的，后一个是用于命令行请求的，如我们经常使用的 php artisan ... 这些就是命令行的请求. 我们现在就看看关于web端Http请求的 Kernel.php 文件.

该 Kernel 类继承自 Illuminate\Foundation\Http\Kernel , 我们暂时不用管这个基类的别的功能，我们查看这个类，发现里面有这样的三个属性:

protected $middleware = [];

    protected $middlewareGroups = [];

    protected $routeMiddleware = [];

我们要做的事情就是覆写这三个属性，我们回头来看 app/Http/Kernel.php

<?php

namespace App\Http;

use Illuminate\Foundation\Http\Kernel as HttpKernel;

class Kernel extends HttpKernel
{
    // 这是一个全局的中间件，所有的路由都要经过这个中间件，无论你的路由来自前段的，还是来自api的。
    protected $middleware = [
        \Illuminate\Foundation\Http\Middleware\CheckForMaintenanceMode::class,
    ];

    // 中间件群组，网站上的请求都要经过web中间件群组，如果写给api的路由，则经过api群组
    protected $middlewareGroups = [
        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
        ],

        'api' => [
            'throttle:60,1',
        ],
    ];
    
    // 非全局的中间件，单独给某些路由指定下面的中间件。
    protected $routeMiddleware = [
        'auth' => \App\Http\Middleware\Authenticate::class,
        'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
        'can' => \Illuminate\Foundation\Http\Middleware\Authorize::class,
        'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
        'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
    ];
}

上面三个属性各代表了什么意思呢？我们先简单的了解下,先请看上面代码中的注解。然后我们再细致的来谈谈，我们先看中间件群组：

protected $middlewareGroups = [
        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
        ],

        'api' => [
            'throttle:60,1',
        ],
    ];

我们通过代码来解释，中间件是位于请求到达控制器具体业务层之间的东西，那么我们就先打开路由文件routes.php:

Route::get('/', function () {
    return view('welcome');
});

Route::auth();

Route::get('/home', 'HomeController@index');

现在我们的路由文件的内容如上，因为我们现在是5.2.45版本(使用Laravel安装工具安装，会安装最新版的)，在这之前我们这些写可不行，比如说在5.2.22版本中，我们需要这么写，当然了现在的版本按下面这样写那肯定也是对的，只不过现在的版本你不写web中间健群组，默认就当你已经使用的是web中间健群组。

Route::group(['middleware' => ['web']], function () {
    Route::get('/', function () {
        return view('welcome');
    });

    Route::auth();

    Route::get('/home', 'HomeController@index');
});

上面的意思就是， [web] 里面的路由一定要经过 web 中所有的中间件:

'web' => [
    \App\Http\Middleware\EncryptCookies::class,
    \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
    \Illuminate\Session\Middleware\StartSession::class,
    \Illuminate\View\Middleware\ShareErrorsFromSession::class,
    \App\Http\Middleware\VerifyCsrfToken::class,
],

我们看上面的中间件，我们之前就用到过两个，我们看 \Illuminate\View\Middleware\ShareErrorsFromSession::class, 这个就是我们验证表单错误时候将错误信息放入 $errors 中的中间件，还记得 $errors 吧，在来看 \App\Http\Middleware\VerifyCsrfToken::class, 这个就是 csrf 攻击的中间件，我们之前使用表单发生post的时候，如果没有添加上 {{csrf_field()}} , 那就通不过这个中间件了。大家应该也还记得。

我们来看下这个 \App\Http\Middleware\VerifyCsrfToken.php 文件的内容：

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        //
    ];
}

这里面只有一个属性，当你希望有写路由不用通过这个中间件，你可以写在这里，那么这些路由就不会经过VerifyCsrfToken的审核了。

我们要看下该类的父类： Illuminate\Foundation\Http\Middleware\VerifyCsrfToken , 我们看handle()方法, 每一个中间件都会这个 handle() 方法，

public function handle($request, Closure $next)
    {
        // 如果是下面这些条件，那么将返回加入到cookie,然后让请求继续执行下去：$next($request)
    
        if (
            $this->isReading($request) ||
            $this->runningUnitTests() ||
            $this->shouldPassThrough($request) ||
            $this->tokensMatch($request)
        ) {
            return $this->addCookieToResponse($request, $next($request));
        }
        
        // 不符合上面的条件，那请求终止执行，抛出Token不匹配异常

        throw new TokenMismatchException;
    }

我们再来看下 \App\Http\Middleware\Authenticate.php