如何使用ThinkPHP编写高效API中间件?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1056个文字,预计阅读时间需要5分钟。
在ThinkPHP的API中间件中,必须将中间件放置在app/middleware目录下,类名与文件名保持一致,命名空间必须是app\middleware(多应用模式下为app\{app_name\}\middleware)。否则,注册后将会报错:
中间件文件怎么放才被框架识别
ThinkPHP 6+ 不扫描子目录或别名路径,只认固定位置:
-
app/middleware/CheckSign.php→ 类名必须是CheckSign,命名空间必须是app\middleware - 多应用模式(如启用
app/multi_app)时,路径应为app/api/middleware/CheckSign.php,命名空间对应改为app\api\middleware - 若用命令行生成:
php think make:middleware CheckSign,它默认建在app/middleware/,不适用于多应用,需手动迁移并改命名空间 - 文件里不能有
echo、var_dump或非 PHP 代码(如 BOM 头),否则app/middleware.php加载时可能解析失败
handle 方法里怎么安全读取请求参数
API 请求常含 application/json、multipart/form-data 或带 query 的 POST,直接用 $request->param() 易漏字段或返回空数组:
- 统一用
$request->getInput()获取原始输入流,再按Content-Type解析:application/json用json_decode($input, true),其余用parse_str($input, $data) - GET 参数必须显式合并:
array_merge($request->get(), $parsed_body),否则/api/user?id=123+ JSON body 会丢id - 签名/限流等中间件中,务必先剥离
sign、timestamp、nonce、app_id等参与校验的字段,再拼原文,否则形成循环依赖 - 不要在中间件里调
$request->session()或$request->cookie()—— Session 初始化通常在后续中间件(如SessionInit)才执行,此时访问会返回空或触发异常
终止请求必须返回 Response 实例,不是 echo 或 json()
中间件里写 echo 'forbidden' 或 return json(...) 是常见错误,会导致 “headers already sent” 或空白响应:
立即学习“PHP免费学习笔记(深入)”;
- 正确方式是返回
Response对象:return response('Forbidden', 403)->header('Content-Type', 'text/plain') -
json()函数可直接用,因为它内部已封装好Response:return json(['code' => 403, 'msg' => 'No access']) - 重定向也需完整实例:
return redirect('/login')->code(302),不能只写redirect(...)(它只是构造器,不自动返回) - 如果中间件抛出异常,确保异常类在
think\Exception或其子类下,否则可能被全局异常处理器忽略或格式化失败
中间件注册后没生效?重点查这三处
90% 的“中间件不跑”问题出在配置层而非逻辑层:
-
app/middleware.php必须存在且 返回数组,不能是null、echo或注释掉整个文件;多应用模式下,该文件仅对默认应用生效,API 应用要查app/api/config/middleware.php - 路由中间件必须显式链式调用:
Route::get('user', 'User/index')->middleware('app\middleware\CheckSign'),光注册不调用等于没写 - 全局中间件对 CLI 请求也生效,若只想作用于 Web 请求,开头加判断:
if ($request->isCli()) { return $next($request); } - 执行顺序严格按数组索引顺序,
['A', 'B']表示 A 进 → B 进 → B 出 → A 出,别指望按字母排序或注释顺序生效
真正难的不是写 handle 逻辑,而是搞清请求生命周期里哪些数据可用、哪些还没初始化,以及注册点和执行点之间那几毫秒的时序差——多数线上验签失败、限流穿透、日志为空,根子都在这儿。
本文共计1056个文字,预计阅读时间需要5分钟。
在ThinkPHP的API中间件中,必须将中间件放置在app/middleware目录下,类名与文件名保持一致,命名空间必须是app\middleware(多应用模式下为app\{app_name\}\middleware)。否则,注册后将会报错:
中间件文件怎么放才被框架识别
ThinkPHP 6+ 不扫描子目录或别名路径,只认固定位置:
-
app/middleware/CheckSign.php→ 类名必须是CheckSign,命名空间必须是app\middleware - 多应用模式(如启用
app/multi_app)时,路径应为app/api/middleware/CheckSign.php,命名空间对应改为app\api\middleware - 若用命令行生成:
php think make:middleware CheckSign,它默认建在app/middleware/,不适用于多应用,需手动迁移并改命名空间 - 文件里不能有
echo、var_dump或非 PHP 代码(如 BOM 头),否则app/middleware.php加载时可能解析失败
handle 方法里怎么安全读取请求参数
API 请求常含 application/json、multipart/form-data 或带 query 的 POST,直接用 $request->param() 易漏字段或返回空数组:
- 统一用
$request->getInput()获取原始输入流,再按Content-Type解析:application/json用json_decode($input, true),其余用parse_str($input, $data) - GET 参数必须显式合并:
array_merge($request->get(), $parsed_body),否则/api/user?id=123+ JSON body 会丢id - 签名/限流等中间件中,务必先剥离
sign、timestamp、nonce、app_id等参与校验的字段,再拼原文,否则形成循环依赖 - 不要在中间件里调
$request->session()或$request->cookie()—— Session 初始化通常在后续中间件(如SessionInit)才执行,此时访问会返回空或触发异常
终止请求必须返回 Response 实例,不是 echo 或 json()
中间件里写 echo 'forbidden' 或 return json(...) 是常见错误,会导致 “headers already sent” 或空白响应:
立即学习“PHP免费学习笔记(深入)”;
- 正确方式是返回
Response对象:return response('Forbidden', 403)->header('Content-Type', 'text/plain') -
json()函数可直接用,因为它内部已封装好Response:return json(['code' => 403, 'msg' => 'No access']) - 重定向也需完整实例:
return redirect('/login')->code(302),不能只写redirect(...)(它只是构造器,不自动返回) - 如果中间件抛出异常,确保异常类在
think\Exception或其子类下,否则可能被全局异常处理器忽略或格式化失败
中间件注册后没生效?重点查这三处
90% 的“中间件不跑”问题出在配置层而非逻辑层:
-
app/middleware.php必须存在且 返回数组,不能是null、echo或注释掉整个文件;多应用模式下,该文件仅对默认应用生效,API 应用要查app/api/config/middleware.php - 路由中间件必须显式链式调用:
Route::get('user', 'User/index')->middleware('app\middleware\CheckSign'),光注册不调用等于没写 - 全局中间件对 CLI 请求也生效,若只想作用于 Web 请求,开头加判断:
if ($request->isCli()) { return $next($request); } - 执行顺序严格按数组索引顺序,
['A', 'B']表示 A 进 → B 进 → B 出 → A 出,别指望按字母排序或注释顺序生效
真正难的不是写 handle 逻辑,而是搞清请求生命周期里哪些数据可用、哪些还没初始化,以及注册点和执行点之间那几毫秒的时序差——多数线上验签失败、限流穿透、日志为空,根子都在这儿。