获课：xingkeit.top/5269/

Egg 中间件开发：旅游项目跨域与请求拦截的统一封装实战

在构建一个功能繁杂的旅游平台时，前后端分离架构几乎是行业标配。然而，这种架构在带来开发便利的同时，也引入了通信层面的挑战。旅游项目的前端可能运行在小程序、H5或是原生App上，它们需要频繁向后端发起请求。此时，跨域问题便如影随形；同时，旅游业务涉及用户隐私、订单安全，统一的鉴权与请求拦截更是不可或缺。

在 Node.js 的企业级框架 Egg 中，中间件机制是解决此类横切关注点的利器。今天，我们将抛开代码细节，从架构思维与业务逻辑的维度，深入探讨如何在旅游项目中统一封装中间件，优雅地搞定跨域与请求拦截。

一、 中间件的哲学：洋葱模型与横切解耦

理解 Egg 中间件，首先要理解其背后的“洋葱模型”。请求从外层进入，依次穿过各个中间件，最终到达业务逻辑，响应则沿着相反的路径从内向外穿透。这种机制使得我们可以将非业务核心的逻辑（如日志、鉴权、跨域处理）剥离出来，形成独立的中间件层。

在旅游项目中，如果每个 Controller 都去处理跨域头、校验 Token、解析参数，不仅代码冗余，维护起来更是灾难。通过中间件统一封装，业务开发者只需关注核心的旅游路线推荐、酒店预订逻辑，真正实现了“高内聚、低耦合”。

二、 破局跨域：旅游多端接入的通行证

跨域是浏览器出于安全考虑的同源策略限制，但对服务端而言，只需在响应头中添加特定的标识即可放行。在旅游场景下，跨域配置并非简单的“全盘开放”，而是需要精细的管控。

在封装跨域中间件时，我们不仅要允许常见的请求方法和请求头，更要结合旅游业务的安全诉求。例如，当用户在旅游App内支付订单时，涉及敏感信息的交互，我们会在中间件中严格限制允许的来源域名，只放行自家前端的域名，拒绝非法来源的请求。

同时，针对旅游项目中常用的自定义请求头（如携带设备类型、版本号的头部），中间件也会动态提取并加入允许列表。此外，对于预检请求的处理也是关键，中间件需在拦截到此类请求时，直接返回允许的响应头，避免预检请求穿透到业务层造成资源浪费。

三、 请求拦截：打造安全的业务护城河

如果跨域中间件是发放通行证，那么请求拦截中间件就是严谨的安检员。在旅游项目中，请求拦截的核心通常围绕身份鉴权与参数校验展开。

1. 统一鉴权与路由放行

旅游平台的接口分为公开与私密两类。公开接口如景区列表查询、旅游攻略阅读；私密接口如个人订单查询、酒店预订。在鉴权中间件中，我们首先会维护一份路由白名单。当请求路径命中白名单时，中间件直接放行；若未命中，则进入严格的 Token 校验流程。

Token 的校验不仅是解密验证其合法性，更包含业务状态的校验。例如，当用户 Token 解析出的状态为“已冻结”时，鉴权中间件应直接拦截，返回封禁提示，阻断后续的所有预订操作。校验通过后，中间件会将解析出的用户ID、角色等上下文信息挂载到请求对象上，让下游的旅游业务逻辑无需关心底层鉴权细节，直接读取即可。

2. 异常兜底与统一响应

在鉴权或参数校验失败时，如果直接抛出底层异常，前端将面临难以解析的错误信息。因此，拦截中间件还承担着统一响应格式的重任。

通过 Egg 的异常捕获机制，中间件会兜底所有鉴权失败、参数缺失的错误，并将其转化为结构化的标准响应体（包含错误码、错误信息）。这样，前端无论是处理跨域异常还是登录失效，都能按照统一的逻辑进行弹窗或跳转，极大提升了多端体验的一致性。

四、 路由级挂载：灵活编排中间件组合

Egg 框架允许中间件在应用级或路由级挂载。在旅游项目的实战中，全量挂载往往不够灵活。例如，我们希望跨域中间件全局生效，但鉴权与参数拦截中间件只对特定的路由前缀（如订单相关路径）生效。

此时，我们可以利用路由的分组特性，将拦截中间件精准挂载到需要保护的路由组上。这种按需挂载的方式，既避免了公开接口（如旅游首页渲染）被多余的鉴权逻辑拖慢响应速度，又保证了核心交易链路的安全严密。

结语

在旅游项目的演进过程中，中间件的统一封装不仅是一次代码层面的重构，更是对系统边界的重新划定。跨域中间件扫清了多端通信的障碍，请求拦截中间件筑起了业务安全的防线。通过洋葱模型的层层过滤，我们将通用逻辑下沉，让业务逻辑纯粹。这种架构上的深度解耦，将使得旅游平台在面对不断增长的业务需求和日益复杂的安全挑战时，依然能够保持稳健的步伐与敏捷的响应。