在 laravel 5.8 中为单一路由正确添加多个中间件时,必须以数组形式传入 middleware() 方法,如 ->middleware([‘auth’, ‘prevent-back-history’]);直接传入多个字符串参数属于无效语法(虽部分版本可能“侥幸”运行,但不符合框架规范且不可靠)。
laravel 的 middleware() 路由方法签名明确要求单一参数:该参数可为字符串(单个中间件)或字符串数组(多个中间件)。查看 Laravel 5.8 源码(IlluminateRoutingrouter 类中 middleware() 方法定义),其接收参数类型为 String|Array,而非可变参数列表(variadic)。因此以下写法:
->middleware('prevent-back-history','auth') // ❌ 错误:多参数传递,仅第一个生效或触发未定义行为虽在某些 php 环境下未立即报错(因 Laravel 内部可能忽略多余参数),但实际只有第一个中间件(’prevent-back-history’)会被注册,’auth’ 将被 silently 丢弃——这极易引发权限控制失效等严重安全隐患。
✅ 正确且唯一推荐的写法是使用索引数组:
Route::get('certs', 'CertController@index') ->name('certificate.front') ->middleware(['auth', 'prevent-back-history']); // ✅ 数组形式,顺序即执行顺序⚠️ 注意事项:中间件执行顺序严格按数组索引顺序从左到右执行,例如 [‘auth’, ‘prevent-back-history’] 表示先校验认证,再防止后退缓存;若顺序颠倒可能导致逻辑错误(如未登录就尝试清除历史记录)。自定义中间件需确保已正确注册(在 app/http/Kernel.php 的 $routeMiddleware 数组中声明)。避免在数组中重复添加同一中间件,Laravel 不会自动去重,可能导致意外的多次执行。
总结:无论添加两个还是十个中间件,只要作用于单一路由,就必须统一采用数组语法。这是 Laravel 官方契约、源码约束与最佳实践的共同要求,也是保障应用安全与可维护性的基础。