本文详细介绍了在 Lar*el 应用中集成 Mollie 等支付平台的 Webhook 时，如何解决 Webhook 未触发的问题。核心原因通常是 Lar*el 默认的 CSRF 保护机制阻止了外部 POST 请求。教程将指导您通过配置 `VerifyCsrfToken` 中间件，为特定的 Webhook 路由添加豁免，确保 Webhook 正常接收并处理支付回调，从而实现交易状态的实时更新。

理解 Lar*el Webhook 与 CSRF 保护

在现代 Web 应用中，Webhook 扮演着至关重要的角色，尤其是在处理第三方服务（如支付网关 Mollie）的异步通知时。通过 Webhook，外部服务可以在特定事件发生时（例如支付成功、退款）主动向您的应用发送数据，从而实现交易状态的实时更新。

然而，Lar*el 框架为了增强应用程序的安全性，默认对所有通过 POST 请求发送到应用程序的表单数据都启用了 CSRF (Cross-Site Request Forgery) 保护。CSRF 保护的原理是要求每个 POST 请求都包含一个由 Lar*el 生成并验证的 CSRF 令牌。这个令牌通常嵌入在 HTML 表单中，用于确保请求来源于您的应用程序本身，而非恶意第三方网站。

当外部服务（如 Mollie API）向您的 Lar*el 应用发送 Webhook 请求时，这些请求是纯粹的 HTTP POST 请求，它们并不会包含 Lar*el 应用程序生成的 CSRF 令牌。因此，Lar*el 默认的 VerifyCsrfToken 中间件会拦截并拒绝这些缺乏 CSRF 令牌的请求，导致您的 Webhook 处理器无法被调用，从而无法及时处理支付回调或事件通知。

识别并配置 Webhook 路由

在解决 CSRF 问题之前，我们首先需要确保 Mollie 支付集成中正确配置了 Webhook URL，并且 Lar*el 应用中也定义了对应的路由和控制器方法。

1. Mollie 支付创建时的 Webhook URL 配置

当您通过 Mollie API 创建支付时，需要指定一个 webhookUrl。这个 URL 将是 Mollie 在支付状态变更时发送通知的地址。

public function order()
{
    $user = Auth::user();
    $payment = Mollie::api()->payments()->create([
        'amount' => [
            'currency' => 'EUR',
            'value' => number_format($this->service->price, 2, '.', '')
        ],
        'description' => 'Order #' . Str::random(6),
        'redirectUrl' => route('service.order.callback'),
        'webhookUrl' => route('service.order.webhook'), // 确保此路由名称与实际定义匹配
        'metadata' => [
            'user' => [
                'id' => $user->id,
                'name' => $user->name,
            ],
            'invoice' => [
                'id' => 0
            ]
        ]
    ]);

    return $this->redirect($payment->getCheckoutUrl(), 303);
}

2. Lar*el Webhook 路由定义

在您的 routes/web.php 或 routes/api.php 文件中，您需要定义一个 POST 路由来接收 Mollie 发送的 Webhook 请求。这个路由的名称应该与上面 webhookUrl 中使用的 route() 函数参数一致。

// routes/web.php
Route::post('/service/order/webhook', [\App\Http\Controllers\Payment\InvoiceController::class, 'webhook'])->name('service.order.webhook');

3. Webhook 控制器方法

对应的控制器方法将负责处理 Mollie 发送过来的数据。在这里，您通常会验证请求、获取支付 ID、查询 Mollie API 获取最新的支付状态，并根据状态更新您的数据库。

namespace App\Http\Controllers\Payment;

use Illuminate\Http\Request;
use App\Models\Payment\Invoice;
use Carbon\Carbon;
use Illuminate\Routing\Controller; // 确保引入 Controller

class InvoiceController extends Controller
{
    public function webhook(Request $request)
    {
        // 建议：首先记录收到的所有请求数据，方便调试
        \Log::info('Mollie Webhook received:', $request->all());

        // 实际应用中，您应该验证 Webhook 请求的签名，以确保其来自 Mollie
        // 例如：https://docs.mollie.com/reference/webhooks/verify-webhook-requests

        $paymentId = $request->input('id'); // Mollie Webhook 通常会发送一个 payment ID
        if (!$paymentId) {
            \Log::warning('Mollie Webhook: No payment ID found in request.');
            return response('Bad Request', 400);
        }

        try {
            // 通过 Mollie API 获取最新的支付状态
            $payment = Mollie::api()->payments()->get($paymentId);

            if ($payment->isPaid() && !$payment->hasRefunds() && !$payment->isChargeback()) {
                // 支付成功逻辑
                // 查找或创建发票，更新订单状态等
                $invoice = Invoice::firstOrCreate(
                    ['payment_id' => $paymentId], // 假设 payment_id 是唯一的
                    [
                        'status' => 'paid',
                        'number' => 'INV-' . Str::random(8), // 生成一个唯一的发票号
                        'date' => Carbon::now(),
                        'billing_detail_id' => $payment->metadata->user->id ?? 1, // 从 metadata 获取用户ID
                        // 其他相关字段
                    ]
                );
                // 更新现有发票状态
                if ($invoice->wasRecentlyCreated === false && $invoice->status !== 'paid') {
                    $invoice->update(['status' => 'paid']);
                }
                \Log::info("Payment {$paymentId} successfully processed. Invoice ID: {$invoice->id}");

            } elseif ($payment->isFailed() || $payment->isCanceled()) {
                // 支付失败或取消逻辑
                \Log::warning("Payment {$paymentId} failed or cancelled. Status: {$payment->status}");
                // 更新相关订单或发票状态
            }
            // 其他状态处理...

        } catch (\Mollie\Api\Exceptions\ApiException $e) {
            \Log::error("Mollie API Error for payment {$paymentId}: " . $e->getMessage());
            return response('Internal Server Error', 500);
        } catch (\Exception $e) {
            \Log::error("Webhook processing error for payment {$paymentId}: " . $e->getMessage());
            return response('Internal Server Error', 500);
        }

        // 必须返回 200 OK 响应，告知 Mollie 您的应用已成功接收并处理了 Webhook
        return response('OK', 200);
    }
}

豁免 CSRF 保护的关键步骤

解决 Webhook 未触发问题的核心在于，将您的 Webhook 路由从 Lar*el 的 CSRF 验证中豁免。

1. 定位 VerifyCsrfToken 中间件

Zyro AI Background Remover

Zyro推出的AI图片背景移除工具

145 查看详情

打开文件 app/Http/Middleware/VerifyCsrfToken.php。这是 Lar*el 默认的 CSRF 保护中间件。

2. 修改 $except 数组

在该文件中，您会找到一个名为 $except 的受保护数组。这个数组用于定义不需要进行 CSRF 验证的 URI 路径。将您的 Webhook 路由添加到这个数组中。

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;

class VerifyCsrfToken extends Middleware
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array<int, string>
     */
    protected $except = [
        // 添加您的 Mollie Webhook 路由到此数组
        '/service/order/webhook',
        // 如果有其他外部服务需要调用您的 POST 路由，也应在此处添加
    ];
}

重要注意事项：

• 精确豁免：请务必只豁免您明确知道是外部服务 Webhook 的路由。将所有 POST 请求都豁免 CSRF 保护将引入严重的安全漏洞，使您的应用程序容易受到 CSRF 攻击。
• 路由前缀：如果您的 Webhook 路由使用了路由前缀（例如 /api/v1/service/order/webhook），请确保在 $except 数组中也使用完整且正确的路径。
• 路由参数：如果您的 Webhook 路由包含参数（例如 /webhook/{id}），您可以使用通配符 * 来匹配，例如 /webhook/*。

完成上述修改后，Mollie 发送的 Webhook 请求将不再被 CSRF 保护中间件拦截，从而能够正常触发您的控制器方法。

最佳实践与调试技巧

为了确保您的 Webhook 处理系统稳定、安全且高效，请考虑以下最佳实践和调试技巧：

1. 安全性验证：

   • Mollie Webhook 签名验证：除了豁免 CSRF，强烈建议您实现 Mollie 提供的 Webhook 签名验证机制。Mollie 会在请求头中发送一个 Mollie-Signature，您可以根据 Mollie 官方文档的指引，使用共享密钥验证签名的有效性，以确保请求确实来源于 Mollie，而非恶意伪造。
   • IP 白名单：如果可能，您可以配置服务器防火墙或应用程序层面的 IP 白名单，只允许来自 Mollie 服务器 IP 地址范围的请求访问您的 Webhook 路由。

2. 响应处理：

   • 快速响应：Webhook 处理器应尽快返回 200 OK 响应。如果您的处理逻辑耗时较长（例如复杂的数据库操作、发送邮件等），应将这些操作放入 Lar*el 队列中异步执行，以避免 Webhook 请求超时。
   • 幂等性：Webhook 请求可能会因为网络问题或其他原因被重复发送。您的 Webhook 处理器必须设计为幂等性，即多次处理相同的 Webhook 请求只会产生一次最终结果。例如，在更新订单状态前，先检查当前状态，避免重复处理。

3. 日志记录：

   • 在 Webhook 处理器中加入详细的日志记录，记录收到的请求数据、处理结果以及任何错误信息。这对于调试问题和追踪事件流程至关重要。

4. 本地开发与测试：

   • 在本地开发时，由于 Mollie 无法直接访问您的本地开发环境，您需要使用像 Ngrok 这样的工具将本地端口暴露到公网，生成一个临时的公共 URL，然后将此 URL 配置为 Mollie 的 Webhook URL 进行测试。

5. 错误处理：

   • 在 Webhook 处理器中实现健壮的错误处理机制，捕获可能发生的异常，并记录详细的错误信息。对于无法处理的错误，返回适当的 HTTP 状态码（例如 500 Internal Server Error）。

总结

解决 Lar*el Webhook 未触发问题的关键在于理解 CSRF 保护机制，并为特定的 Webhook 路由配置 CSRF 豁免。通过在 app/Http/Middleware/VerifyCsrfToken.php 文件的 $except 数组中添加 Webhook 路由，您可以确保外部服务能够成功将事件通知发送到您的 Lar*el 应用。同时，结合安全性验证、快速响应、幂等性处理和详细日志记录等最佳实践，能够构建一个稳定、安全且高效的 Webhook 处理系统，确保您的应用程序能够实时响应外部事件。

以上就是解决 Lar*el Webhook 未触发问题：正确配置 CSRF 保护豁免的详细内容，更多请关注php中文网其它相关文章！

# 如何建设营销型网站首页  # 您可以  # 多维  # 发送到  # 中也  # 而非  # 第三方  # 您需要  # 孝感网站建设服务热线  # 令牌  # seo网页免费课程  # 宁乡网站建设供应  # seo好处虾哥网络  # 网站关键词推广优化方法  # 独立网站怎么推广  # 谷歌单个产品Seo  # 襄阳视频seo公司有哪些  # 闽侯专业seo优化  # 路由  # laravel  # html  # 处理器  # 防火墙  # app  # 端口  # 工具  # ai  # php  # 状态码  # 退款  # 开发环境  # 网络问题  # re  # 您的  # 应用程序 

相关栏目： 【 科技资讯46185 】 【 网络学院92790 】

相关推荐： Typer应用中动态命令行参数的解析与处理  晋江读书网页版在线登录 晋江读书电脑版官网  vivo浏览器怎么扫描二维码 vivo浏览器内置扫一扫功能使用方法  Win11截图该按哪些键 Win11截屏完整流程解析【教程】  顺丰快递查询系统 官方正版查询入口  HTML元素状态管理：根据DIV内容动态启用/禁用按钮  菜鸟取件码是什么怎么查 最全查询渠道汇总  php源码怎么看淘宝客系统_看php源码淘宝客系统技巧  Python Socket多播通信中指定源IP地址的实践指南  c++中的std::basic_string的SSO优化_c++短字符串优化深度解析  学习通网页版官方登录 超星学习通电脑端入口指南  微博网页版官方账号登录 微博网页版内容浏览使用指南  照顾宝贝2小游戏免费秒玩入口  CSS实现侧边栏导航项全宽圆角悬停背景效果  J*aScript中赋值与自增运算符的复杂交互与执行机制  邮编格式怎么匹配地址_根据邮编格式快速匹配详细地址的技巧  实现全屏滚动与导航点：专业教程  Go语言HTML解析：利用Goquery精准获取指定元素内容  必由学登录入口 必由学官方网站在线访问链接  谷歌邮箱注册显示错误Gmail服务器异常与延迟处理  夸克浏览器桌面版同步不了书签怎么处理 夸克浏览器跨设备同步异常解决方案  抖音网页版平台入口 抖音网页版官网在线访问教程  Selenium Python中处理点击后新窗口加载冻结问题的策略与实践  反效果？《战地6》免费试玩开启后玩家数不升反降  微信语音通话掉线如何解决 微信语音通话稳定优化方法  PHP表单数据传递：如何通过隐藏输入字段获取动态ID  漫蛙漫画网页端入口 漫蛙2官方正版漫画站点  解决Flask中Quill编辑器内容提交失败及TypeError的指南  Win11如何使用Windows Sandbox Win11沙盒功能开启与使用教程【详解】  j*a toString()的覆盖  2026春节假期时间安排 2026春节假日查询  如何在Promise链中有效终止错误处理后的执行  Excel组合图表怎么做 Excel创建柱状图与折线组合图教程【图表】  Windows7怎么硬盘安装 Windows7提取ISO镜像到非系统盘并运行setup.exe实现硬盘直装【教程】  J*a里如何实现线程安全的懒加载单例_懒加载单例实现方法解析  魅族20怎样在浏览器开无图省流_iPhone魅族20浏览器开无图省流【流量节省】  Win10系统服务哪些可以禁用 Win10安全优化服务列表【干货】  composer 和 npm/yarn 在管理依赖方面有什么核心思想差异？  小米Civi 4录制视频过暗_小米Civi 4亮度优化  使用 Pandas 高效处理 .dat 文件：字符清理与数据计算  Eclipse怎么运行工程_Eclipse工程运行配置说明  C++如何连接MySQL数据库_C++使用Connector/C++操作MySQL数据库教程  msn官网入口地址手机版 msn官方网站手机最新链接  如何使用纯J*aScript判断Input元素是否在特定类容器内  在WordPress中通过REST API获取BasicAuth保护的远程文章  顺丰快递查单号物流信息 顺丰快递小程序查询入口  Python：递归比较文件夹内容并找出特定类型文件的差异  在Runstone环境中高效处理TasteDive API的JSON数据  Python vgamepad库按键模拟：正确使用XUSB_BUTTON常量  excel如何生成目录 excel一键生成工作表目录超链接