路由分组必须显式指定中间件数组,嵌套分组不自动继承prefix和name,控制器方法不存在时中间件仍执行,api路由不可混用web中间件。
路由分组必须显式指定中间件,否则不生效
很多人以为在 Route::group() 里写了 middleware 键,子路由就自动继承——其实不是。Laravel 要求中间件必须是数组形式传入,且不能漏掉引号包裹的中间件名。常见错误是写成 middleware => auth(缺数组),或 middleware => ['auth'] 却忘了加单引号(PHP 会报 Use of undefined constant auth)。
正确写法:
Route::group(['middleware' => ['auth', 'verified']], function () {
Route::get('/dashboard', [DashboardController::class, 'index']);
});
- 中间件名必须是字符串,哪怕只有一个也要包在数组里
- 多个中间件按执行顺序从左到右排列,
['throttle', 'auth']和['auth', 'throttle']行为不同 - 如果用闭包定义中间件(如
function ($request, $next) { ... }),需先注册为全局中间件再引用名,不能直接塞进数组
prefix 和 name 前缀不自动继承嵌套分组
你写了两层 Route::group(),期待子分组自动拼接 prefix 或 name?Laravel 不做隐式拼接。第二层分组的 prefix 会完全覆盖第一层,name 同理——不会自动加点号连接。
比如:
Route::group(['prefix' => 'admin', 'as' => 'admin.'], function () {
Route::group(['prefix' => 'users', 'as' => 'users.'], function () {
Route::get('list', [UserController::class, 'index'])->name('index');
});
});
最终路由名是 users.index,不是 admin.users.index;URL 是 /users/list,不是 /admin/users/list。
- 要实现嵌套前缀,第二层必须手动写全:
'prefix' => 'admin/users' - 命名也一样:
'as' => 'admin.users.',然后子路由用->name('index')才能得到admin.users.index - 别依赖“继承”,Laravel 的分组是独立作用域
控制器方法不存在时,中间件仍会执行
这是最容易被忽略的坑:即使你配置了 auth 中间件,但对应路由指向的控制器方法根本不存在(比如拼错函数名、没生成控制器),Laravel 仍会先跑完所有中间件逻辑,最后才抛出 Method [xxx] does not exist 错误。
后果是——登录态校验、权限检查、日志记录这些中间件动作全白做了,还可能触发副作用(比如 throttle 计数器已增加)。
- 上线前务必用
php artisan route:list核对路由是否真实绑定到可用方法 - 开发中可配合 IDE 的跳转功能,点
[Controller::class, 'method']看能否直达 - 不要靠“中间件执行了=路由走通了”来判断逻辑是否正常
API 分组里别混用 web 中间件
在 routes/api.php 里直接套用 web 中间件(比如 encrypt_cookies、verify_csrf_token)会导致 500 或静默失败。因为 API 路由默认不启用 session,而 web 中间件链依赖 session 存储和 CSRF token 机制。
典型错误现象:Class session does not exist 或 POST 请求始终返回 419。
- API 路由应只用
api中间件组里的中间件,或自定义无状态中间件 - 需要鉴权?用
auth:sanctum或auth:api,别用auth(它默认走 web guard) - 真要共享中间件逻辑,把复用部分抽成独立类,而不是直接挪
web数组
