Laravel中实现访客与登录用户分级邮件验证的策略

laravel默认邮件验证中间件会阻止访客访问。本文将指导如何创建自定义中间件，实现对访客用户放行，而对已登录用户强制执行邮件验证，从而在不影响公共页面可访问性的前提下，确保所有认证用户的邮箱均已验证。

在Laravel应用开发中，我们经常会遇到这样的需求：某些页面允许未登录的访客访问（例如博客文章详情页），但一旦用户登录，无论访问任何页面，都必须先完成邮箱验证。Laravel自带的verified中间件（即EnsureEmailIsVerified）在处理这类场景时存在局限性，因为它会首先检查用户是否已认证，如果已认证但未验证邮箱，则会重定向到验证通知页面。这意味着如果将verified中间件应用于公共路由，访客用户也会被要求登录才能访问，这与我们的初衷相悖。

为了解决这一问题，我们可以创建一个自定义中间件，它能够智能地判断当前请求的用户状态：如果是访客，则允许其继续访问；如果是已认证用户但邮箱未验证，则强制其进行邮箱验证。

创建自定义中间件

首先，我们需要生成一个新的中间件。可以使用Artisan命令来完成：

php artisan make:middleware EnsureEmailIsVerifiedUnlessGuest

这会在app/Http/Middleware目录下创建一个名为EnsureEmailIsVerifiedUnlessGuest.php的文件。接下来，修改该文件的handle方法，实现我们所需的分级验证逻辑：

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Contracts\Auth\MustVerifyEmail;
use Illuminate\Support\Facades\Redirect;
use Illuminate\Support\Facades\URL;

class EnsureEmailIsVerifiedUnlessGuest
{
    /**
     * 处理传入的请求。
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @param  string|null  $redirectToRoute
     * @return \Illuminate\Http\Response|\Illuminate\Http\RedirectResponse|null
     */
    public function handle($request, Closure $next, $redirectToRoute = null)
    {
        // 检查当前请求是否有认证用户，并且该用户需要邮箱验证但尚未验证
        if (
            $request->user() && // 确保有用户登录
            ($request->user() instanceof MustVerifyEmail && // 确保用户模型实现了MustVerifyEmail接口
            ! $request->user()->hasVerifiedEmail()) // 确保邮箱尚未验证
        ) {
            // 如果是API请求，返回403错误
            // 否则，重定向到邮箱验证通知页面
            return $request->expectsJson()
                    ? abort(403, '您的邮箱地址尚未验证。')
                    : Redirect::guest(URL::route($redirectToRoute ?: 'verification.notice'));
        }

        // 允许请求继续处理
        return $next($request);
    }
}

代码解析：

• $request->user(): 这是关键的第一步，它会检查当前请求是否包含一个已认证的用户。如果返回null，说明是访客用户，条件不满足，中间件会直接放行。
• $request->user() instanceof MustVerifyEmail: 确保用户模型实现了MustVerifyEmail接口，这是Laravel邮件验证机制的基础。
• ! $request->user()->hasVerifiedEmail(): 检查已认证用户的邮箱是否已验证。
• 如果以上三个条件都满足（即已登录、需要验证且未验证），则根据请求类型（JSON或Web）进行相应处理：
  • $request->expectsJson(): 如果是API请求，返回HTTP 403状态码及错误信息。
  • Redirect::guest(URL::route($redirectToRoute ?: 'verification.notice')): 对于Web请求，重定向到邮箱验证通知页面。Redirect::guest在这里的作用是确保即使重定向，用户也能在验证后返回到他们最初尝试访问的页面。

注册自定义中间件

创建完中间件后，需要将其注册到app/Http/Kernel.php文件的$routeMiddleware数组中，以便可以在路由中使用一个简短的别名来引用它：

知我AI·PC客户端

离线运行 AI 大模型，构建你的私有个人知识库，对话式提取文件知识，保证个人文件数据安全

0

查看详情

// app/Http/Kernel.php

protected $routeMiddleware = [
    // ... 其他中间件

    'verified-or-guest' => \App\Http\Middleware\EnsureEmailIsVerifiedUnlessGuest::class,
];

这里我们为它指定了别名verified-or-guest。

应用自定义中间件

现在，你可以在任何需要此分级验证逻辑的路由上应用这个自定义中间件了。例如，你希望所有路由都遵循这个规则：

// routes/web.php

Route::middleware(['web', 'verified-or-guest'])->group(function () {
    Route::get('/', function () {
        return view('welcome');
    });

    Route::get('/posts/{id}', function ($id) {
        // 访客和已验证用户都可以访问
        // 未验证的登录用户会被重定向
        return "Viewing post " . $id;
    });

    // ... 其他路由
});

通过将verified-or-guest中间件应用于路由组，所有这些路由都将遵循以下行为：

• 访客用户： 可以正常访问这些路由，不会被要求登录或验证邮箱。
• 已登录且邮箱已验证的用户： 可以正常访问这些路由。
• 已登录但邮箱未验证的用户： 访问这些路由时，会被重定向到邮箱验证通知页面，直到他们完成邮箱验证。

总结与注意事项

通过上述步骤，我们成功地实现了一个灵活的邮箱验证机制。这个自定义中间件的核心优势在于它能够区分访客和已认证用户，仅对后者强制执行邮箱验证，从而完美解决了在公共页面上应用邮箱验证中间件的冲突。

注意事项：

• 确保你的User模型实现了Illuminate\Contracts\Auth\MustVerifyEmail接口，并且Laravel的邮件验证路由（如Auth::routes(['verify' => true])）已正确配置。
• verification.notice是Laravel默认的邮箱验证通知路由名称，如果你的应用中使用了不同的名称，请在中间件的Redirect::guest()方法中进行相应调整。
• 此方案提供了高度的灵活性，你可以根据需要将其应用于特定的路由组、单个路由或控制器构造函数中。
• 在开发和测试过程中，请务必模拟访客、已验证用户和未验证用户三种状态，以确保中间件的行为符合预期。

以上就是Laravel中实现访客与登录用户分级邮件验证的策略的详细内容，更多请关注php中文网其它相关文章！