Laravel 出廠已經帶有了用戶認證系統，我們來看一下 routes.php，如果刪除了，添加上：

Route::controllers([    'auth' => 'Auth/AuthController',    'passWord' => 'Auth/PasswordController']);

可以使用 php artisan route:list 查看一下。瀏覽器中訪問 /auth/login，可以看到登陸界面，最好把系統默認的 app.blade.php 中關于 google 的東西注釋起來，要不然你會瘋掉的。

你可以使用 register、login甚至 forget password。

實際注冊一個用戶，提交后失敗了，實際上沒有失敗，只是larave自動跳轉到了 /home，我們已經刪除了這個控制器。你可以使用 tinker 看一下，用戶已經建立了。

在 Auth/AuthController 中實際上使用了 trait，什么是 triat？well，php只支持單繼承，在php5.4中添加了trait，一個trait實際上是一組方法的封裝，你可以把它包含在另一個類中。像是抽象類，你不能直接實例化他。

在 Auth/AuthController 中有對 trait 的引用：

use AuthenticatesAndRegistersUsers;

讓我們找到他，看一下注冊后是怎么跳轉的。他隱藏的挺深的，在 vendor/laravel/framework/src/Illuminate/Foundation/Auth/AuthenticatesAndregistersUsers.php，wow。

public function redirectPath(){if (PRoperty_exists($this, 'redirectPath')){return $this->redirectPath;}                //如果用戶設置了 redirectTo 屬性，則跳轉到用戶設置的屬性，否則到homereturn property_exists($this, 'redirectTo') ? $this->redirectTo : '/home';}

OK，我們知道了，只要設定 redirectTo 這個屬性就可以自定義注冊后的跳轉了。我們在 Auth/AuthContotroller 中修改：

 protected $redirectTo = 'articles';

我們先使用 /auth/logout 確保我們退出，如果出錯了不要害怕，我們沒有默認的主頁，重新訪問：auth/register 新建一個用戶，這次應該ok了。

再次logout，然后使用 login 登陸一下。

現在我們可以刪除 form_partial 中臨時設置的隱藏字段了，然后修改控制器：

    public function store(Requests/ArticleRequest $request) {        //你可以這樣        //$request = $request->all();        //$request['user_id'] = Auth::id();        //更簡單的方法        $article = Article::create($request->all());        //laravel 自動完成外鍵關聯        Auth::user()->articles()->save($article);        return redirect('articles');    }

添加一個文章，然后使用 tinker 查看一下。

我們當然不希望任何人都能發布文章，至少是登陸用才可以。我們在控制器中添加保護：

    public function create() {        if (Auth::guest()) {            return redirect('articles');        }        return view('articles.create');    }

上面的代碼可以工作，有一個問題，我們需要在每一個需要保護的方法中都進行上面的處理，這樣做太傻了，幸好我們有中間件。

中間件可以理解為一個處理管道，中間件在管道中的某一時刻進行處理，這個時刻可以是請求也可以是響應。依據中間件的處理規則，可能將請求重定向，也可能通過請求。

在 app/http/middleware 中包含了三個中間件，名字就可以看出是干什么，好好查看一下，注意，Closure $next 代表了下一個中間件。

在 app/http/kernel.php 中對中間件進行登記。$middleware 段聲明了對所有http都進行處理的中間件，$routeMiddleware 僅僅對路由進行處理，而且你必須顯示的聲明要使用這其中的某一個或幾個中間件。

假設我們想對整個的 ArticlesController 進行保護，我們直接在構造函數中添加中間件：

    public function __construct() {        $this->middleware('auth');    }

現在，任何方法都收到了保護。

但我們可能不想整個控制器都受到保護，如果只是其中的一兩個方法呢？我們可以這樣處理：

    public function __construct() {        $this->middleware('auth', ['only' => 'create']);        //當然可以反過來        //$this->middleware('auth', ['except' => 'index']);    }

我們不一定在控制器的構造函數中引入中間件，我們可以直接在路由中聲明：

Route::get('about', ['middleware' => 'auth', 'uses' => 'PagesController@about']);

在 kernel.php 中提供的系統中間件，比如 'Illuminate/Foundation/Http/Middleware/CheckForMaintenanceMode' 是可以讓我們進入到維護模式，比如系統上線了，但現在需要臨時關閉一段時間進行處理，我們可以在命令行進行處理，看一下這個中間件的工作：

php artisan down

訪問一下網站，可以看到任何 url 的請求都是馬上回來。網站上線：

php artisan up

我們來做一個自己的中間件：

 php artisan make:middleware Demo

然后添加代碼：

public function handle($request, Closure $next){        //如果請求中含有 foo，我們就回到控制器首頁        if ($request->has('foo')) {            return redirect('articles');        }return $next($request);}

如果希望在全部的請求使用中間件，需要在 kernel.php 中的 $middleware 中登記：

protected $middleware = [...'App/Http/Middleware/Demo',];

現在我們可以測試一下，假設我們訪問 /articles/create?foo=bar ，我們被重定向到了首頁。

讓我們去除這個顯示中間件，我們來創建一個真正有用的中間件。假設我們想保護某個頁面，這個頁面必須是管理者才能訪問的。

php artisan make:middleware RedirectIfNotAManager

我們來添加處理代碼：

public function handle($request, Closure $next){        if (!$request->user() || !$request->user()->isATeamManager()) {            return redirect('articles');        }return $next($request);}

下面修改我們的模型：

    public function isATeamManager() {        return false;    }

簡單起見，我們直接返回false。這次我們把中間件放置在 kernel.php 中的$routeMiddleware 中。

protected $routeMiddleware = [...'manager' => 'App/Http/Middleware/RedirectIfNotAManager',];

我們做一個測試路由測試一下：

Route::get('foo', ['middleware' => 'manager', function() {    return 'This page may only be viewed by manager';}]);

guest身份訪問或者登錄身份訪問都會返回主頁，但是如果修改 isATeamManager() 返回 true，登錄身份訪問可以看到返回的信息。