Laravel 9 中基于用户角色字段（role）保护路由的完整实践指南

本文详解如何在 Laravel 9 中通过自定义中间件，依据 users.role 字段值（如 "Admin" 或 "Driver"）精细化控制路由访问权限，实现比基础 auth 更严格的访问隔离。

本文详解如何在 Laravel 9 中通过自定义中间件，依据 `users.role` 字段值（如 "Admin" 或 "Driver"）精细化控制路由访问权限，实现比基础 `auth` 更严格的访问隔离。

在 Laravel 9 中，仅使用 auth 或 verified 中间件只能确保用户已登录且邮箱已验证，但无法区分不同角色的访问能力。例如，你希望 /user/create 路由仅对 role = 'Admin' 的用户开放，而普通 Driver 用户即使已登录也应被拒绝——此时需引入角色感知型中间件（Role-aware Middleware）。

✅ 步骤一：创建自定义中间件

运行 Artisan 命令生成中间件：

php artisan make:middleware IsAdmin

编辑 app/Http/Middleware/IsAdmin.php，完善 handle 方法逻辑（注意添加空值防护与 HTTP 响应适配）：

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Redirect;

class IsAdmin
{
    public function handle(Request $request, Closure $next)
    {
        // 确保用户已认证（避免 $request->user() 为 null）
        if (! $request->user()) {
            return Redirect::route('login')->with('error', '请先登录以继续操作。');
        }

        // 检查 role 字段是否为 'Admin'
        if ($request->user()->role !== 'Admin') {
            abort(403, '您没有权限执行此操作。');
        }

        return $next($request);
    }
}

? 提示：使用 abort(403) 可触发 Laravel 默认的 403 Forbidden 响应（配合 resources/views/errors/403.blade.php 自定义页面），比返回 JSON 更符合 Web 路由场景；若用于 API，则可改用 response()->json(..., 403)。

✅ 步骤二：注册并应用中间件

Laravel 9 默认已自动发现中间件，无需手动在 app/Http/Kernel.php 中注册（除非需全局或分组使用）。直接在路由中链式调用即可：

// routes/web.php
Route::middleware(['auth', 'verified'])->group(function () {
    Route::get('/users', App\Http\Livewire\User\Index::class)->name('users.index');
    Route::get('/user/{user}/edit', App\Http\Livewire\User\Edit::class)->name('user.edit');

    // ✅ 仅 Admin 可访问创建页
    Route::get('/user/create', App\Http\Livewire\User\Create::class)
        ->middleware(IsAdmin::class)
        ->name('user.create');
});

你也可以将多个中间件组合使用（顺序敏感）：

->middleware(['auth', 'verified', IsAdmin::class])

✅ 进阶建议：提升可维护性与扩展性

• 避免硬编码角色值：在 App\Enums\Role.php 中定义枚举（PHP 8.1+）或配置常量，便于统一管理和 IDE 提示；
• 支持多角色授权：如需同时允许 'Admin' 和 'SuperAdmin'，可改为：

  if (! in_array($request->user()->role, ['Admin', 'SuperAdmin'])) { ... }

• 结合 Laravel Gates（推荐）：更语义化、可复用、支持策略绑定。在 AuthServiceProvider@boot 中定义：

  Gate::define('create-user', function ($user) {
      return $user->role === 'Admin';
  });

  然后在控制器或中间件中使用 abort_unless(auth()->user()->can('create-user'), 403);，或在 Blade 中用 @can('create-user') 控制 UI 元素。

⚠️ 注意事项

• 确保 User 模型中的 role 字段已正确迁移且非空（建议设为 NOT NULL DEFAULT 'Driver'）；
• 若使用 Livewire 组件（如本例），中间件仅保护初始 HTTP 请求；Livewire 的后续 AJAX 调用需额外通过 authorize() 方法或 $this->authorize('create-user') 校验；
• 不要仅依赖前端隐藏按钮或链接——服务端中间件是权限控制的唯一可信防线。

通过以上方式，你就能在 Laravel 9 中安全、清晰、可扩展地实现基于数据库字段的角色级路由保护，真正践行“最小权限原则”。