Laravel 中如何通过中间件限制用户访问，直到完成指定任务（如问卷调查）

本文介绍在 laravel 中使用自定义中间件强制用户完成关键任务（如提交问卷）后才能访问受保护路由，涵盖中间件编写、注册、路由绑定及关键注意事项，兼顾安全性与用户体验。

本文介绍在 laravel 中使用自定义中间件强制用户完成关键任务（如提交问卷）后才能访问受保护路由，涵盖中间件编写、注册、路由绑定及关键注意事项，兼顾安全性与用户体验。

在 Laravel 应用中，常需实现“任务前置访问控制”——例如：用户登录后必须先完成新手引导或满意度问卷，才能进入主功能页面。这类逻辑绝不能依赖前端 JavaScript（易被绕过）或仅靠 Session 临时标记（缺乏服务端校验），而应通过 Laravel 的中间件（Middleware）在请求生命周期早期进行统一、可靠的身份与状态验证。

✅ 正确做法：创建状态检查中间件

首先，生成中间件：

php artisan make:middleware RequireSurveySubmitted

编辑 app/Http/Middleware/RequireSurveySubmitted.php，实现核心逻辑：

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

class RequireSurveySubmitted
{
    public function handle(Request $request, Closure $next)
    {
        // 确保用户已登录
        if (!Auth::check()) {
            return redirect()->route('login');
        }

        $user = Auth::user();

        // 检查数据库中是否已标记问卷已提交（推荐方式）
        // 假设用户模型有 is_survey_submitted 布尔字段，或关联 survey_submissions 表
        if (!$user->is_survey_submitted) {
            // 重定向至问卷页，并可附带提示
            return redirect()
                ->route('survey.index')
                ->with('warning', '请先完成新手问卷，以便我们为您提供更优质的服务。');
        }

        return $next($request);
    }
}

? 关键说明：

Insou AI

Insou AI 是一款强大的人工智能助手，旨在帮助你轻松创建引人入胜的内容和令人印象深刻的演示。

下载

• 使用 $user->is_survey_submitted 是典型 Eloquent 属性（可通过访问器或数据库字段实现），比检查 $request->survey_submitted 更安全可靠——后者是请求参数，完全不可信；
• 若问卷状态分散在独立表中，可改用：

  if ($user->surveySubmissions()->where('status', 'completed')->count() === 0) { ... }

? 注册并应用中间件

在 app/Http/Kernel.php 的 $routeMiddleware 数组中注册别名（可选，但推荐）：

protected $routeMiddleware = [
    // ...
    'survey.completed' => \App\Http\Middleware\RequireSurveySubmitted::class,
];

然后在 routes/web.php 中为需要保护的路由组或单一路由添加中间件：

// 保护整个后台区域
Route::middleware(['auth', 'survey.completed'])->group(function () {
    Route::get('/dashboard', [DashboardController::class, 'index'])->name('dashboard');
    Route::get('/settings', [SettingsController::class, 'edit'])->name('settings.edit');
});

// 或仅保护特定页面
Route::get('/premium/features', [FeatureController::class, 'show'])
    ->middleware(['auth', 'survey.completed'])
    ->name('features.premium');

⚠️ 注意事项与最佳实践

• 勿用 Session 作为唯一判断依据：Session 可被篡改或过期，必须结合数据库持久化状态（如 users.is_survey_submitted = 1）；
• 提供明确的跳转路径：中间件中重定向时，应指向问卷页面（如 survey.index），并传递友好的提示信息（通过 with() 方法）；
• 排除问卷自身路由：确保问卷提交页（如 /survey/submit）不应用该中间件，否则将形成死循环；
• 考虑“跳过”机制（可选）：如业务允许用户暂不填写，可在问卷页提供“稍后提醒”按钮，设置 user.skipped_survey_at 时间戳，并在中间件中增加宽限期逻辑；
• API 路由同样适用：若前端为 SPA，对 /api/dashboard 等接口也应添加相同中间件，返回 403 Forbidden 并附带 JSON 错误提示。

✅ 总结

使用 Laravel 中间件实现任务驱动的访问控制，是安全、清晰且符合框架设计哲学的方案。它将权限逻辑集中管理、与业务代码解耦，并天然支持路由分组复用。只要确保状态校验基于可信数据源（数据库），并合理处理重定向与用户体验，即可稳健支撑各类“完成即通行”场景。