ThinkPHP如何自定义路由中间件_ThinkPHP路由级权限控制教程【教程】

ThinkPHP路由中间件必须显式绑定，无自动识别机制；单个路由用->middleware()链式调用，分组路由用Route::group()->middleware()统一绑定；权限标识应通过->option()注入，中间件中用$request->rule()->getOption()获取；获取完整操作方法应使用$request->rule()->getAction()。

在ThinkPHP框架中，路由中间件的使用方式有一个核心原则：它并非通过“注册”到路由上自动生效，而是必须在定义路由时进行显式绑定。换句话说，框架本身并没有一个独立的“路由级中间件”概念，唯一可靠的方式就是“将中间件绑定到具体路由”。如果试图让中间件去自动识别当前匹配的路由，再执行权限判断，很容易在闭包路由、资源路由或者多层嵌套的分组场景下出现遗漏，导致安全漏洞。

如何给单个路由绑定中间件

最直接的方法，是在 route/app.php 文件中定义路由时，使用 middleware 方法进行链式调用：

// route/app.php
use think\facade\Route;
Route::get('admin/user/list', 'admin.UserController@list')
    ->middleware('check_auth'); // 绑定中间件名（字符串）

这里需要注意：check_auth 是你在 app/middleware.php 文件中注册的中间件别名，而不是完整的类名。如果没有注册别名，就需要写入完整的类名，例如：\app\middleware\CheckAuth::class。

实践中常见的错误有两个：一是将中间件名写成了一个未注册的字符串，导致运行时抛出 Middleware not found: xxx 异常；二是误用数组形式 ->middleware(['check_auth']) 来绑定单个中间件，虽然不会报错，但写法上显得冗余。

立即学习“PHP免费学习笔记（深入）”；

如何给路由分组统一绑定权限中间件

对于后台管理模块、API版本前缀这类需要统一鉴权的场景，使用 group 分组并绑定中间件是最省事、也最安全的方式：

Route::group('admin', function () {
    Route::get('user/list', 'admin.UserController@list');
    Route::post('user/add', 'admin.UserController@add');
})->middleware('check_auth');

这种方式比在每个子路由上单独绑定要高效得多，并且从根本上避免了遗漏。不过要明确一点：分组上绑定的中间件属于“前置执行”，即使子路由又单独调用了 allowCrossDomain 等其他中间件，权限检查依然会优先执行，不会被跳过。

这里有三个关键点需要把握：

• 分组中间件会对组内所有子路由生效，包括闭包路由和通过 Route::resource() 定义的资源路由。
• 如果子路由也单独调用了 ->middleware()，那么中间件会叠加执行，执行顺序按照绑定的先后顺序进行，而不是覆盖。
• 资源路由（Route::resource()）必须定义在分组内部，否则分组中间件对其不生效。

为什么不能在中间件里靠 $request->url() 做路由级判断

有些开发者可能会尝试在中间件内部解析当前的URL字符串，然后去匹配权限配置表。这种做法存在三个典型问题：

第一，URL可能携带动态参数（例如 /user/edit/123），进行硬字符串匹配会失败。第二，ThinkPHP的路由支持变量规则（如 [:id]）和正则约束，仅凭URL字符串无法还原到原始的路由定义。第三，对于闭包路由和某些动态注册的路由，它们根本没有“路由名称”，因此无法进行反向查找。

正确的做法是：在定义路由的阶段，就将权限标识“打”在路由上。比如，使用 option 方法注入一个权限码：

Route::get('admin/log', 'admin.LogController@index')
    ->option(['auth_rule' => 'log:read']);

然后，在中间件里，通过 $request->rule()->getOption('auth_rule') 来获取这个标识。这才是ThinkPHP原生支持的、最可靠的路由元数据获取方式。

中间件中如何获取当前路由的真实操作方法

构建权限系统时，经常需要精确判断“用户是否有权访问 admin.UserController@delete”。然而，直接使用 $request->action() 只能得到方法名（例如 delete），不包含控制器信息。一个可靠的方法是组合多个请求对象的方法：

$controller = $request->controller(); // 返回 'User'
$action     = $request->action();      // 返回 'delete'
$module     = $request->module();      // 返回 'admin'
$fullAction = $module . '.' . $controller . '@' . $action; // 拼接成 'admin.User@delete'

这里有一个细节需要注意：$request->controller() 返回的控制器名默认首字母大写，但实际的控制器类名可能是驼峰形式（如 UserList）。因此，更稳妥的方式是从路由规则对象中直接获取原始的调度信息：使用 $request->rule()->getAction()。这个方法会返回完整的类方法字符串，例如 app\controller\admin\UserController@list。

这个细节在实现RBAC（基于角色的访问控制）权限校验时尤为关键——控制器名的大小写、命名空间的层级稍有偏差，就可能导致权限判断错误。