如何防止 Laravel 路由被直接访问（即非 ajax 请求）

Question

在我的项目中，我将 Laravel 纯粹用作后端 api，所有前端都由 Angular javascript 处理。目前，可以直接访问 Laravel 路由，它会将 Json 中显示在浏览器中的所有数据都咳出。我想对其进行限制，以便 Laravel 只响应 Ajax 请求，而不响应其他请求。

我阅读了这篇文章 here，它为 Laravel 4 提供了一个解决方案，即在 filter.php 中添加限制。但从 Laravel 5.1 开始，不再使用过滤器，我相信中间件也可以用来做同样的事情。但是，我不确定如何继续将该 SO 答案中的 Laravel 4 解决方案从过滤器更改为中间件。

有人可以分享您关于如何防止 Laravel 5.1 路由被直接访问的想法吗？

使用filter.php 的 Laravel 4 解决方案： 在filter.php 中声明这个过滤器：

Route::filter('isAJAX', function()
{
    if (!Request::AJAX()) return Redirect::to('/')->with(array('route' => Request::path()));
});

然后将只希望通过 AJAX 访问的所有路由放入一个组中。在你的 routes.php 中：

Route::group(array('before' => 'isAJAX'), function()
{
    Route::get('contacts/{name}', ContactController@index); // Or however you declared your route

    ... // More routes
});

Answer 1

使用此内容创建中间件文件app/Http/Middleware/OnlyAjax.php：

<?php 

namespace App\Http\Middleware;

class OnlyAjax
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, \Closure $next)
    {
        if ( ! $request->ajax())
            return response('Forbidden.', 403);

        return $next($request);
    }
}

然后在app/Http/Kernel.php文件中注册你的中间件

<?php namespace App\Http;

use Illuminate\Foundation\Http\Kernel as HttpKernel;

class Kernel extends HttpKernel
{
    /**
     * The application's global HTTP middleware stack.
     *
     * @var array
     */
    protected $middleware = [
        //... your original code
    ];

    /**
     * The application's route middleware.
     *
     * @var array
     */
    protected $routeMiddleware = [
        //... your original code
        'ajax' => \App\Http\Middleware\OnlyAjax::class,
    ];
}

最后将中间件附加到您希望仅通过 AJAX 访问的任何路由或路由组。即：

/// File: routes/web.php

// Single route
Route::any('foo', 'FooController@doSomething')->middleware('ajax');

// Route group
Route::middleware(['ajax'])->group(function () {
    // ...
});