Laravel怎么生成和验证URL签名

Laravel通过URL::signedRoute和temporarySignedRoute生成带签名的URL，用于安全的临时访问链接，如邀请或重置密码；签名包含有效期和完整性验证，防止篡改或过期使用；可通过hasValidSignature方法或signed中间件自动验证签名有效性，确保请求合法，支持自定义过期处理逻辑。

Laravel 提供了简单而安全的方式来生成带签名的 URL，常用于实现无需登录的临时访问链接，比如邮件中的密码重置、邀请链接或临时下载地址。这类链接包含一个签名参数，Laravel 可以验证其完整性和时效性，防止被篡改或过期使用。

生成签名 URL

使用 Laravel 的 URL 门面（URL::signedRoute()）可以轻松为指定路由生成带签名的 URL。

假设你有一个路由：

Route::get('/invite/{id}', [InviteController::class, 'accept'])->name('invite.accept');

你可以这样生成一个带签名的 URL：

$url = URL::signedRoute('invite.accept', ['id' => 1]);

生成的 URL 类似于：

https://yourapp.com/invite/1?signature=abc123...

如果希望链接有有效期（例如 30 分钟），使用 temporarySignedRoute()：

$url = URL::temporarySignedRoute(
    'invite.accept',
    now()->addMinutes(30),
    ['id' => 1]
);

这个链接在 30 分钟后签名将失效，无法通过验证。

验证签名 URL

Laravel 自动验证签名 URL 的完整性与有效期。你可以在控制器中使用 ->hasValidSignature() 方法判断请求是否携带有效签名。

示例控制器方法：

public function accept(Request $request, $id)
{
    if (! $request->hasValidSignature()) {
        abort(403, '无效或过期的签名链接');
    }

    // 处理邀请逻辑
    return view('invite.accept', compact('id'));
}

也可以使用中间件自动验证。Laravel 提供了 signed 中间件：

Route::get('/invite/{id}', [InviteController::class, 'accept'])
    ->name('invite.accept')
    ->middleware('signed');

启用后，任何未通过签名验证的请求会自动返回 403 错误，无需手动检查。

自定义过期处理

默认情况下，signed 中间件直接返回 403。如果你需要自定义响应（比如跳转到首页或提示信息），可以修改中间件行为或在控制器中手动验证并处理异常情况。

例如在控制器中：

if (! $request->hasValidSignature()) {
    return redirect()->to('/')->with('error', '链接已失效，请重新获取');
}

基本上就这些。Laravel 的签名 URL 功能开箱即用，安全可靠，适合大多数需要安全临时链接的场景。关键是理解 signedRoute 和 temporarySignedRoute 的区别，并合理使用 hasValidSignature() 或 signed 中间件。不复杂但容易忽略细节，比如时间时区或参数一致性。

以上就是Laravel怎么生成和验证URL签名的详细内容，更多请关注php中文网其它相关文章！