中间件
VextJS 的中间件采用 洋葱模型(Onion Model),支持请求前处理和响应后处理。框架提供 defineMiddleware 和 defineMiddlewareFactory 两种定义方式,通过约定式目录自动扫描加载。
洋葱模型
中间件通过 await next() 调用下一个中间件。next() 返回后可以执行后置逻辑,形成洋葱状的执行流程:
请求 → [中间件A-前] → [中间件B-前] → [Handler] → [中间件B-后] → [中间件A-后] → 响应
import type { VextMiddleware } from 'vextjs';
const timing: VextMiddleware = async (req, res, next) => {
// ── 前置逻辑(请求进入时执行)──
const start = Date.now();
await next(); // 执行下一个中间件 / 最终 handler
// ── 后置逻辑(响应返回时执行)──
const ms = Date.now() - start;
res.setHeader('X-Response-Time', `${ms}ms`);
req.app.logger.info(`${req.method} ${req.path} → ${res.statusCode} (${ms}ms)`);
};
中间件签名
type VextMiddleware = (
req: VextRequest,
res: VextResponse,
next: () => Promise<void>,
) => Promise<void> | void;
定义中间件
中间件文件放在 src/middlewares/ 目录下,由 middleware-loader 自动扫描。文件名即中间件名称。
普通中间件 — defineMiddleware
不需要配置参数的中间件,使用 defineMiddleware 标记:
// src/middlewares/auth.ts
import { defineMiddleware } from 'vextjs';
export default defineMiddleware(async (req, res, next) => {
const token = req.headers['authorization']?.replace('Bearer ', '');
if (!token) {
req.app.throw(401, 'Authorization token is required');
}
// 验证 token(示例)
try {
const payload = verifyJWT(token);
(req as any).user = payload;
} catch {
req.app.throw(401, 'Invalid or expired token');
}
await next();
});
function verifyJWT(token: string) {
// JWT 验证逻辑...
return { id: '1', role: 'user' };
}
工厂中间件 — defineMiddlewareFactory
需要运行时配置参数的中间件,使用 defineMiddlewareFactory 标记。工厂函数接收 options 参数,返回一个 VextMiddleware:
// src/middlewares/check-role.ts
import { defineMiddlewareFactory } from 'vextjs';
interface CheckRoleOptions {
roles: string[];
}
export default defineMiddlewareFactory<CheckRoleOptions>((options) => {
const allowedRoles = options?.roles ?? [];
return async (req, res, next) => {
const user = (req as any).user;
if (!user) {
req.app.throw(401, 'Authentication required');
}
if (allowedRoles.length > 0 && !allowedRoles.includes(user.role)) {
req.app.throw(403, 'Insufficient permissions');
}
await next();
};
});
为什么需要显式标记?
defineMiddleware 和 defineMiddlewareFactory 通过 Symbol 标记让中间件类型显式化。middleware-loader 通过 isMiddleware() / isMiddlewareFactory() 检测标记,零歧义地区分普通中间件和工厂中间件。
如果不标记,框架无法区分"一个函数到底是中间件本身,还是返回中间件的工厂函数"。
注册与使用
中间件的使用分为两步:配置白名单 → 路由引用。
Step 1: 在配置中声明白名单
所有路由级中间件必须先在 config/default.ts 的 middlewares 数组中声明:
// src/config/default.ts
export default {
port: 3000,
middlewares: [
// 普通中间件 — 字符串声明
'auth',
// 工厂中间件 — 对象声明(附带默认参数)
{ name: 'check-role', options: { roles: ['user'] } },
// 工厂中间件 — 无默认参数
'rate-limit-api',
],
};
白名单机制的好处:
- 安全性:防止路由随意引用未审核的中间件
- 显式依赖:一眼看到项目使用了哪些中间件
- 参数默认值:工厂中间件的默认参数集中管理
Step 2: 在路由中引用
通过 options.middlewares 为路由指定中间件:
// src/routes/admin.ts
import { defineRoutes } from 'vextjs';
export default defineRoutes((app) => {
// 字符串引用 — 使用配置中的默认参数
app.get('/profile', {
middlewares: ['auth'],
}, async (req, res) => {
res.json((req as any).user);
});
// 对象引用 — 覆盖默认参数
app.delete('/users/:id', {
middlewares: [
'auth',
{ name: 'check-role', options: { roles: ['superadmin'] } },
],
}, async (req, res) => {
const { id } = req.valid('param');
await app.services.user.delete(id);
res.status(204).json(null);
});
});
参数优先级
当工厂中间件同时在配置和路由中指定了参数时,路由级参数覆盖配置级默认参数:
配置默认参数 (config/default.ts) → 路由覆盖参数 (options.middlewares)
{ roles: ['user'] } → { roles: ['superadmin'] }
中间件执行顺序
全局中间件
VextJS 内置了多个全局中间件,在所有路由之前自动执行。执行顺序:
请求进入
↓
1. requestId — 生成/透传请求唯一标识
2. cors — CORS 跨域处理
3. bodyParser — 请求体解析(JSON / URL-encoded)
4. rateLimit — 全局速率限制
5. accessLog — 访问日志记录
6. responseWrapper — 开启响应包装({ code, data, requestId })
↓
7. [路由级中间件] — 按 options.middlewares 声明顺序
↓
8. [validateMiddleware] — 参数校验(如果配置了 validate)
↓
9. [handler] — 路由处理函数
↓
errorHandler — 全局错误处理(捕获任何阶段抛出的异常)
全局中间件通过配置控制行为(如 cors、rateLimit),但不能被路由跳过——它们对所有路由生效。
路由级中间件
路由级中间件按 options.middlewares 数组中的声明顺序执行:
app.post('/sensitive-action', {
middlewares: ['auth', 'check-role', 'audit-log'],
// ↑ 1st ↑ 2nd ↑ 3rd
}, handler);
全局中间件(插件注册)
插件可以通过 app.use() 注册全局中间件,对所有路由生效。这些中间件在内置全局中间件之后、路由级中间件之前执行:
// src/plugins/security-headers.ts
import { definePlugin } from 'vextjs';
export default definePlugin({
name: 'security-headers',
setup(app) {
app.use(async (req, res, next) => {
await next();
res.setHeader('X-Content-Type-Options', 'nosniff');
res.setHeader('X-Frame-Options', 'DENY');
res.setHeader('X-XSS-Protection', '1; mode=block');
});
},
});
注意
app.use() 只能在插件的 setup() 中调用。路由注册完成后再调用将抛出错误。
常见中间件示例
认证中间件
// src/middlewares/auth.ts
import { defineMiddleware } from 'vextjs';
export default defineMiddleware(async (req, res, next) => {
const header = req.headers['authorization'];
if (!header?.startsWith('Bearer ')) {
req.app.throw(401, 'Missing or invalid Authorization header');
}
const token = header.slice(7);
try {
// 验证 JWT token
const payload = await verifyToken(token);
(req as any).user = payload;
} catch (err) {
req.app.throw(401, 'Token expired or invalid');
}
await next();
});
async function verifyToken(token: string) {
// 实际实现中使用 jsonwebtoken 或 jose 等库
return { id: '1', email: 'user@example.com', role: 'user' };
}
角色检查中间件
// src/middlewares/check-role.ts
import { defineMiddlewareFactory } from 'vextjs';
interface RoleOptions {
roles: string[];
}
export default defineMiddlewareFactory<RoleOptions>((options) => {
return async (req, res, next) => {
const user = (req as any).user;
if (!user) {
req.app.throw(401, 'Not authenticated');
}
const allowed = options?.roles ?? [];
if (allowed.length > 0 && !allowed.includes(user.role)) {
req.app.logger.warn(
{ userId: user.id, role: user.role, required: allowed },
'Access denied: insufficient role',
);
req.app.throw(403, 'Access denied');
}
await next();
};
});
请求耗时记录
// src/middlewares/timing.ts
import { defineMiddleware } from 'vextjs';
export default defineMiddleware(async (req, res, next) => {
const start = performance.now();
await next();
const duration = (performance.now() - start).toFixed(2);
res.setHeader('X-Response-Time', `${duration}ms`);
req.app.logger.info({
method: req.method,
path: req.path,
status: res.statusCode,
duration: `${duration}ms`,
}, 'Request completed');
});
API Key 验证
// src/middlewares/api-key.ts
import { defineMiddlewareFactory } from 'vextjs';
interface ApiKeyOptions {
header?: string;
keys?: string[];
}
export default defineMiddlewareFactory<ApiKeyOptions>((options) => {
const headerName = options?.header ?? 'x-api-key';
const validKeys = new Set(options?.keys ?? []);
return async (req, res, next) => {
if (validKeys.size === 0) {
// 未配置 keys,跳过验证
await next();
return;
}
const apiKey = req.headers[headerName];
if (!apiKey || !validKeys.has(apiKey)) {
req.app.throw(401, 'Invalid API key');
}
await next();
};
});
缓存控制
// src/middlewares/cache-control.ts
import { defineMiddlewareFactory } from 'vextjs';
interface CacheOptions {
maxAge?: number; // 秒
directive?: string; // 'public' | 'private' | 'no-cache' | 'no-store'
}
export default defineMiddlewareFactory<CacheOptions>((options) => {
const maxAge = options?.maxAge ?? 0;
const directive = options?.directive ?? 'public';
const value = maxAge > 0 ? `${directive}, max-age=${maxAge}` : 'no-store';
return async (req, res, next) => {
await next();
res.setHeader('Cache-Control', value);
};
});
错误处理中间件
全局错误处理由框架内置的 error-handler 负责,它会捕获中间件链中抛出的所有异常:
HttpError(由 app.throw() 抛出)→ 转化为结构化 JSON 响应VextValidationError(参数校验失败)→ 422 响应 + errors 数组- 其他异常 → 500 Internal Server Error
你不需要手动编写错误处理中间件。如果需要自定义错误处理逻辑(如上报到 Sentry),推荐在插件中使用 app.use() 注册一个 try-catch 中间件:
// src/plugins/sentry.ts
import { definePlugin } from 'vextjs';
export default definePlugin({
name: 'sentry',
setup(app) {
app.use(async (req, res, next) => {
try {
await next();
} catch (err) {
// 上报错误到 Sentry
// Sentry.captureException(err);
app.logger.error({ err }, 'Captured by Sentry plugin');
// 重新抛出,让框架的 error-handler 处理响应
throw err;
}
});
},
});
中间件中的 req.app
路由级中间件没有 defineRoutes 的闭包 app,因此通过 req.app 访问框架能力:
export default defineMiddleware(async (req, res, next) => {
// 通过 req.app 访问各种框架能力
req.app.logger.info('Middleware executing'); // 日志
req.app.throw(403, 'Forbidden'); // 抛出错误
const config = req.app.config; // 读取配置
const userSvc = req.app.services.user; // 访问服务
await next();
});
环境级中间件配置覆盖
可以在环境配置文件中覆盖中间件的默认参数:
// src/config/default.ts
export default {
middlewares: [
'auth',
{ name: 'check-role', options: { roles: ['user'] } },
],
};
// src/config/development.ts — 开发环境关闭某些中间件
export default {
middlewares: [
{ name: 'check-role', options: { roles: [] } }, // 开发环境不检查角色
],
};
配置的 middlewares 数组使用智能 patch 策略:按 name 匹配并合并,不会简单地替换整个数组。
内置中间件
VextJS 内置以下全局中间件,通过配置项控制行为:
详见 配置 章节了解各项配置选项。
TypeScript 类型扩展
如果中间件在 req 上挂载了自定义属性(如 req.user),推荐通过 declare module 扩展类型:
// src/types/extensions.d.ts
declare module 'vextjs' {
interface VextRequest {
user?: {
id: string;
email: string;
role: string;
};
}
}
扩展后,所有路由和中间件中访问 req.user 都会获得类型提示,无需 as any 断言。
最佳实践
1. 保持中间件职责单一
每个中间件只做一件事。认证和授权应分为两个中间件:
// ✅ 正确 — 职责单一
middlewares: ['auth', 'check-role']
// ❌ 避免 — 一个中间件做太多事
middlewares: ['auth-and-role-check']
2. 始终 await next()
如果中间件需要执行后置逻辑或让请求继续传递,必须 await next():
// ✅ 正确
export default defineMiddleware(async (req, res, next) => {
console.log('before');
await next(); // 等待后续中间件和 handler 完成
console.log('after');
});
// ❌ 错误 — 忘记 await,后置逻辑会在 handler 完成前执行
export default defineMiddleware(async (req, res, next) => {
console.log('before');
next(); // 没有 await!
console.log('after — 这会在 handler 之前执行');
});
3. 短路响应
某些中间件可能需要直接响应而不调用 next()(如认证失败)。在这种情况下直接返回即可,不需要调用 next():
export default defineMiddleware(async (req, res, next) => {
if (!isAllowed(req)) {
// 直接抛出错误,不调用 next() — 请求在此终止
req.app.throw(403, 'Access denied');
}
await next();
});
由于 app.throw() 的返回类型是 never,它会自动终止执行流程。
4. 在配置中管理,而非硬编码
避免在中间件内部硬编码配置值。使用工厂模式接收参数,在配置文件中统一管理:
// ✅ 正确 — 参数由配置管理
export default defineMiddlewareFactory<{ maxAge: number }>((options) => {
const maxAge = options?.maxAge ?? 3600;
return async (req, res, next) => {
await next();
res.setHeader('Cache-Control', `public, max-age=${maxAge}`);
};
});
// ❌ 避免 — 硬编码
export default defineMiddleware(async (req, res, next) => {
await next();
res.setHeader('Cache-Control', 'public, max-age=3600'); // 无法按环境变更
});
下一步
- 学习 插件 如何通过
app.use() 注册全局中间件
- 了解 参数校验 中间件的自动生成
- 查看 配置 中内置中间件的完整选项
- 探索 测试 如何测试中间件逻辑