Laravel 進階開發:資深 PHP 工程師的升級攻略
嘿,各位資深 PHP 前輩們!相信您在業界打滾多年,從傳統的 LAMP 架構到各種框架,肯定都累積了不少實戰經驗。今天,我們來聊聊 Laravel,但不是從零開始那種入門級的,而是要深入探討,怎麼把 Laravel 玩到爐火純青,讓您的專案不僅能動,更能成為兼顧維護性、擴展性、高效能與資安的業界典範。
這次,我們就拿一個「Laravel 多租戶 SaaS 訂單管理平台樣板」當例子,從這個專案的核心設計跟技術實踐來切入,帶您看看,身為資深工程師,在面對 Laravel 專案時,還有哪些「眉角」值得深究,讓您不只寫得出功能,更能駕馭整個系統的設計與優化。
1. 精進 Artisan Console 命令 (Mastering Artisan Commands)
Artisan,這個 Laravel 的命令行好幫手,各位肯定都不陌生。它可不只是拿來 make:controller 或 migrate 而已喔!對資深工程師來說,Artisan 更是一個能幫您自動化各種雜事、執行背景任務的超級工具。想想看,那些重複性的操作,是不是很花時間?有了自訂 Artisan 命令,這些都能輕鬆搞定。
為什麼要自訂 Artisan 命令?
自動化排程任務 (Cron Jobs):像是每日的報表生成、數據備份、或定期的資料清理,這些您是不是每次都要手動跑?設定成 Artisan 命令,再搭配 Laravel 排程,直接讓它自己動起來,多省事!
數據操作利器:需要批量匯入/匯出大量資料?或是得對資料庫做複雜的數據轉換、遷移?用 Artisan 命令來寫,執行起來穩定又好追蹤。
系統管理小幫手:像是清除快取、重建搜尋索引、甚至特定用戶的密碼重設,這些日常維護工作,都可以包成命令,讓您或維運團隊操作起來更直覺。
開發輔助腳本:有時候需要產生大量測試數據?或者想跑個客製化的程式碼檢查?寫成 Artisan 命令,效率跟可重複性都大幅提升。
怎麼創建和使用?
首先,用 Artisan 命令生成一個新的命令類別:
php artisan make:command ProcessTenantData
這會在 app/Console/Commands 目錄下生成一個檔案。我們來瞧瞧一個實際的例子,它示範了怎麼接收參數、選項,還能跟用戶互動(確認、進度條、表格輸出),這些都是在實際應用中很有用的功能:
// app/Console/Commands/ProcessTenantData.php
<?php
namespace App\Console\Commands;
use Illuminate\Console\Command;
use App\Models\Tenant; // 假設您有一個 Tenant Model
class ProcessTenantData extends Command
{
/**
* 命令的「簽名」與「描述」。
*
* 「簽名」就像命令的使用手冊,定義了命令名稱、必要的參數(`{argument}`)和可選的選項(`{--option}`)。
* 這裡的 `tenant_id` 是個必填參數,而 `--dry-run` 則是一個布林選項,讓您可以先預演,不實際動到數據。
*
* @var string
*/
protected $signature = 'tenant:process-data {tenant_id : 要處理的租戶ID} {--dry-run : 執行預演,不實際修改數據}';
/**
* 命令的簡短描述。
*
* @var string
*/
protected $description = '根據租戶 ID 處理其相關數據,例如生成報告或清理舊數據。';
/**
* 執行命令的核心邏輯,所有處理都在這裡發生。
*
* @return int
*/
public function handle()
{
// 先把參數跟選項都拿出來
$tenantId = $this->argument('tenant_id');
$isDryRun = $this->option('dry-run');
// 試著找看看這個租戶存不存在
$tenant = Tenant::find($tenantId);
if (!$tenant) {
$this->error("阿娘喂,租戶 ID: {$tenantId} 沒找到喔!"); // 用 error 輸出紅色錯誤訊息
return Command::FAILURE; // 返回失敗狀態
}
$this->info("要開始處理租戶 '{$tenant->name}' (ID: {$tenantId}) 的數據囉..."); // info 輸出綠色訊息
if ($isDryRun) {
$this->warn('注意喔!這只是個「預演模式」(Dry Run),數據不會真的改動啦。'); // warn 輸出黃色警告
} else {
// 如果不是預演,問一下用戶是不是確定要動手
if (!$this->confirm("確定要對租戶 '{$tenant->name}' 的數據進行「實際處理」嗎?想清楚喔!")) {
$this->info('嗯哼,操作取消了。');
return Command::SUCCESS; // 雖然沒執行,但命令正常結束,所以是成功
}
}
// 模擬一個比較耗時的處理過程,用進度條讓用戶知道還有多久
$totalSteps = 10;
$bar = $this->output->createProgressBar($totalSteps); // 建立一個總共10步的進度條
$bar->start(); // 進度條開始跑
for ($i = 0; $i < $totalSteps; $i++) {
sleep(1); // 模擬每一步的工作,讓它停個1秒
// 這裡就是您放真正數據處理邏輯的地方,像是:
// $tenant->someComplexDataProcessingMethod();
$bar->advance(); // 進度條往前一步
}
$bar->finish(); // 進度條跑完了
$this->newLine(); // 換個行,讓後面的輸出比較整齊
if ($isDryRun) {
$this->info('預演模式結束,沒動任何數據,放心啦!');
} else {
$this->info('數據處理大功告成!拍拍手!');
}
// 成果報告:用表格把處理結果秀出來
$headers = ['項目', '數量/狀態'];
$results = [
['處理記錄筆數', $totalSteps],
['成功次數', $totalSteps],
['失敗次數', 0],
['執行模式', $isDryRun ? '預演' : '實際執行'],
];
$this->table($headers, $results); // 以漂亮的表格形式輸出數據
return Command::SUCCESS; // 表示命令成功執行囉
}
}
這個命令您可以在命令行這樣跑:
php artisan tenant:process-data 1
php artisan tenant:process-data 2 --dry-run
2. 理解和實踐多租戶架構 (Multi-Tenancy Architecture)
資深前輩們在規劃 SaaS 服務時,多租戶架構肯定是個繞不開的話題。一個應用程式要服務好幾百上千個客戶,每個客戶的資料還得是獨立且安全的,這學問可大了!Laravel 本身沒有內建多租戶功能,但幸好有 spatie/laravel-multitenancy 這個套件,簡直是把繁瑣的工作都包辦了。
什麼是多租戶?
簡單來說,多租戶就是用一套軟體、一套程式碼、甚至一套資料庫(或多個資料庫),來服務多個不同的客戶。每個客戶就是一個「租戶」,他們在系統裡看到的資料、操作的功能都是自己專屬的,互不干擾。就像一棟公寓大樓,每個住戶有自己的門牌號碼,但大家共用同一棟建築的公共設施。
為什麼選擇 spatie/laravel-multitenancy?
開發變超簡單:它自動幫您處理租戶資料的過濾,您就不用每次寫查詢都硬加上
WHERE tenant_id = ?了,程式碼乾淨又直覺。彈性夠高:它可以透過域名(像
client-a.yourdomain.com)、URL 路徑、甚至 HTTP Header 來判斷當前是哪個租戶,想怎麼設計就怎麼設計。資料超級安全:最核心的
ForCurrentTenantTrait,確保每個租戶都只會看到自己的資料,想偷看別人的?門都沒有!這是從資料庫層面就幫您把關了。事務處理有保障:在切換租戶上下文時,套件會確保操作的原子性,避免資料混亂。
核心概念與實作 (以域名模式為例)
來,我們一步一步看,怎麼在 Laravel 專案裡把多租戶搞定(這裡用域名來區分租戶當例子):
安裝與配置:
先用 Composer 把 spatie/laravel-multitenancy 這個套件裝起來,然後發布它的設定檔 config/multitenancy.php。在這個設定檔裡,您要指定 tenant_finder (建議用 Spatie\Multitenancy\TenantFinder\DomainTenantFinder::class,也就是靠域名找租戶),然後再設定您測試用的 tenant_domains。
tenants 資料表:
您的資料庫裡需要有個 tenants 表,用來存所有租戶的基本資訊,最重要的就是那個要用來辨識租戶的 domain 欄位,而且要設成唯一值喔!
// database/migrations/xxxx_xx_xx_create_tenants_table.php use Illuminate\Database\Migrations\Migration; use Illuminate\Database\Schema\Blueprint; use Illuminate\Support\Facades\Schema; return new class extends Migration { public function up() { Schema::create('tenants', function (Blueprint $table) { $table->id(); $table->string('name')->unique(); $table->string('domain')->unique(); // 這裡就是給 DomainTenantFinder 用的 $table->timestamps(); }); } public function down() { Schema::dropIfExists('tenants'); } };Tenant Model:
接著,定義一個 Tenant 模型,這就是框架用來代表每個租戶的實例。
// app/Models/Tenant.php <?php namespace App\Models; use Spatie\Multitenancy\Models\Tenant as BaseTenant; use Illuminate\Database\Eloquent\Relations\HasMany; class Tenant extends BaseTenant { protected $fillable = ['name', 'domain']; /** * 取得該租戶底下的所有用戶。 */ public function users(): HasMany { return $this->hasMany(User::class); } }在資料表中添加 tenant_id:
凡是需要做到資料隔離的資料表(像是 users、products、orders 這些),都得加上一個 foreignId('tenant_id') 欄位。而且記得要設定外鍵關聯到 tenants 表,然後加上 onDelete('cascade'),這樣租戶被刪掉時,它底下所有資料也會一併刪除,避免留垃圾。
// database/migrations/xxxx_xx_xx_create_users_table.php (部分修改) $table->foreignId('tenant_id')->constrained('tenants')->onDelete('cascade');在 Model 中使用 ForCurrentTenant Trait:
這一步是多租戶的精髓所在!在所有您希望自動套用租戶資料隔離的 Eloquent Model(例如 Product、Order)裡,都給它 use Spatie\Multitenancy\Models\Concerns\ForCurrentTenant;。
// app/Models/Product.php <?php namespace App\Models; use Illuminate\Database\Eloquent\Factories\HasFactory; use Illuminate\Database\Eloquent\Model; use Spatie\Multitenancy\Models\Concerns\ForCurrentTenant; class Product extends Model { use HasFactory, ForCurrentTenant; // 嘿,就是它!這個 Trait 會自動幫您處理租戶隔離 protected $fillable = [ 'tenant_id', 'user_id', // 假設產品也跟創建它的用戶有關聯 'name', 'description', 'price', 'stock', ]; }搞定這個之後,當您寫
Product::all()或是Product::where(...)的時候,Laravel 就會自動在產生的 SQL 語句裡加上WHERE tenant_id = [當前租戶ID]了,是不是超方便?配置中間件 (Middleware):
最後,在 app/Http/Kernel.php 裡,把 Spatie\Multitenancy\Http\Middleware\NeedsTenant::class 和 Spatie\Multitenancy\Http\Middleware\ForbidRequestsFromTenantWithoutContext::class 這兩個中間件加到 web 和 api 的中間件群組裡。這樣,每個進來的請求,框架就能第一時間判斷是哪個租戶的,確保租戶上下文是正確的。
// app/Http/Kernel.php protected $middlewareGroups = [ 'web' => [ // ... 其他中間件 \Spatie\Multitenancy\Http\Middleware\NeedsTenant::class, // 確保有租戶上下文 \Spatie\Multitenancy\Http\Middleware\ForbidRequestsFromTenantWithoutContext::class, // 如果沒租戶上下文就禁止請求 ], 'api' => [ // ... 其他中間件 \Spatie\Multitenancy\Http\Middleware\NeedsTenant::class, \Spatie\Multitenancy\Http\Middleware\ForbidRequestsFromTenantWithoutContext::class, ], ];
多租戶請求生命週期 (序列圖)
理解一個請求在多租戶系統裡是怎麼跑的,對於您未來除錯(Debug)和擴充功能來說,絕對是事半功倍!
sequenceDiagram
participant B as 瀏覽器 (Browser)
participant LB as 負載均衡/代理 (Nginx/Proxy)
participant L as Laravel 核心 (Kernel)
participant MW as 多租戶中間件 (Spatie\Multitenancy)
participant C as 控制器 (Controller)
participant Eloquent as Eloquent ORM
participant DB as 資料庫 (MySQL)
B->>LB: 發出請求 (例如: http://tenant-a.localhost:8000/products)
LB->>L: 轉發請求給 Laravel
L->>MW: 1. 請求進入多租戶中間件 (NeedsTenant 登場)
MW->>MW: 2. **TenantFinder** (這裡是用 DomainTenantFinder) 偵測到域名 `tenant-a.localhost`
MW->>MW: 3. 從 `tenants` 表裡撈出 Tenant A 的 ID (假設是 ID=1)
MW->>MW: 4. **Tenant::makeCurrent(Tenant A)**: 把 Tenant A 設為當前執行環境的租戶
MW->>L: 5. 中間件處理完畢,請求繼續往 Laravel 核心跑
L->>C: 6. 路由系統把請求導向 `ProductController@index`
C->>Eloquent: 7. 控制器裡呼叫 `Product::all()` (或 `Product::where(...)`)
Eloquent->>Eloquent: 8. 因為 `Product` Model 有 `ForCurrentTenant` Trait,Eloquent 自動幫查詢加上 `WHERE tenant_id = 1`
Eloquent->>DB: 9. 執行資料庫查詢 (SQL 長這樣:`SELECT * FROM products WHERE tenant_id = 1`)
DB-->>Eloquent: 10. 資料庫只回傳屬於 Tenant A 的產品數據
Eloquent-->>C: 11. Eloquent 把產品數據傳回控制器
C-->>L: 12. 控制器建好 HTTP 響應 (例如 JSON 格式的產品列表)
L-->>B: 13. 響應返回給瀏覽器,用戶就看到自己的產品囉!
3. API 開發的藝術:瘦控制器與服務層 (The Art of API Development: Thin Controllers & Service Layer)
隨著專案越搞越大,功能越來越多,您有沒有發現控制器裡的程式碼也越來越長、越來越難懂?這就是「控制器肥大症」。身為資深工程師,我們追求的是程式碼的清晰、好維護,所以把業務邏輯從控制器裡抽出來,是個必經之路。
瘦控制器 (Thin Controllers)
以前常犯的毛病:新手在寫程式的時候,常常把所有東西,像是資料驗證、複雜的業務邏輯、還有跟資料庫互動的程式碼,通通塞進控制器裡。結果就是控制器又臭又長,看都看不懂,要測也難測,想改更頭大。這根本就是違反「單一職責原則 (Single Responsibility Principle, SRP)」嘛!
我們的解法:讓控制器乖乖只做三件事,這樣才能「瘦」下來:
接收請求 (Input):把 HTTP 請求裡的資料正確地拿進來。
協調邏輯執行 (Orchestration):像個總指揮一樣,把任務分派給其他專門的單位去處理。
返回響應 (Output):把處理完的結果,用正確的格式(像是 JSON)回傳出去。
所有那些複雜、耗腦筋的業務邏輯,通通都要請出控制器,放到更合適的地方。
服務層/動作類 (Service Layer / Action Classes)
當您的業務邏輯不只是簡單的 CRUD,還牽涉到好幾個模型的互動、或者要呼叫外部服務的時候,這時候就該為它量身打造一個「服務層 (Service Layer)」或「動作類 (Action Classes)」了。把這些複雜的邏輯包裝起來,就是最好的實踐。
好處多多:
符合 SRP:每個類就只專心做一件事,就是執行某個特定的業務操作,職責分明。
好測試到爆:業務邏輯跟 HTTP 請求、響應脫勾了,要寫單元測試就簡單多了,測試覆蓋率也能拉高。
超高複用性:同樣一套業務邏輯,您可以在控制器裡用,也可以在 Artisan 命令裡用,甚至放在排程任務 (Queue Job) 裡、或是事件監聽器 (Event Listener) 裡重複利用,省去重複開發的麻煩。
程式碼更清爽:控制器裡的程式碼變短了,讀起來也更順暢,整個邏輯脈絡一目了然。
範例:創建訂單的業務邏輯抽離
在一個訂單管理平台裡,創建一個訂單可不是只有寫一筆資料那麼簡單,它可能包含了:檢查產品庫存夠不夠、計算訂單總價、扣掉產品庫存、然後才真正寫入訂單記錄、再寫訂單明細等等。把這些複雜的邏輯從 OrderController 裡搬出去,塞到一個 CreateOrderAction 類裡,就是我們要做的。
抽離後的 Action Class (app/Actions/Orders/CreateOrderAction.php):
<?php
namespace App\Actions\Orders;
use App\Models\Order;
use App\Models\OrderItem;
use App\Models\Product;
use App\Models\User; // 引入 User 模型,因為訂單會關聯到用戶
use Illuminate\Support\Facades\DB;
use Illuminate\Validation\ValidationException; // 引入這個,讓我們可以拋出標準的驗證錯誤
class CreateOrderAction
{
/**
* 執行創建訂單的核心業務邏輯。
*
* @param User $user 下訂單的那個用戶。
* @param array $orderData 訂單的主要資訊,像是顧客名稱 (customer_name)。
* @param array $itemsData 訂單明細的資料,包含商品 ID (product_id) 和數量 (quantity)。
* @return Order 成功創建的訂單實例。
* @throws ValidationException 如果庫存不足或商品無法取得,就拋出驗證錯誤。
* @throws \Exception 如果中間發生其他意料之外的錯誤。
*/
public function execute(User $user, array $orderData, array $itemsData): Order
{
$totalAmount = 0; // 訂單總金額
$orderItemsToSave = []; // 準備要儲存的訂單明細
DB::beginTransaction(); // **這裡很重要!** 開始資料庫事務,確保所有操作都成功,否則就全部復原
try {
foreach ($itemsData as $item) {
$product = Product::find($item['product_id']);
// 先檢查商品是不是存在,而且是不是當前用戶/租戶有權限存取的
if (!$product || $product->user_id !== $user->id) {
throw ValidationException::withMessages([
'items' => ["商品 ID {$item['product_id']} 不存在,或者您沒有權限存取喔。"],
])->status(400); // 設定 HTTP 狀態碼為 400 Bad Request
}
// 檢查庫存夠不夠
if ($product->stock < $item['quantity']) {
throw ValidationException::withMessages([
'items' => ["商品 '{$product->name}' 庫存不足啦!目前庫存: {$product->stock},您要訂: {$item['quantity']}"],
])->status(400); // 也是 400 Bad Request
}
// 庫存夠就先扣掉
$product->decrement('stock', $item['quantity']);
// 計算這項商品的總金額,加到訂單總金額裡
$totalAmount += $product->price * $item['quantity'];
// 把訂單明細的資料先準備好
$orderItemsToSave[] = new OrderItem([
'product_id' => $product->id,
'quantity' => $item['quantity'],
'price_per_unit' => $product->price, // 記錄下單時的商品價格
]);
}
// 創建訂單主檔
$order = $user->orders()->create(array_merge($orderData, [
'total_amount' => $totalAmount,
'status' => 'pending', // 初始狀態設為「待處理」
]));
// 儲存訂單明細
$order->items()->saveMany($orderItemsToSave);
DB::commit(); // **成功了!** 提交資料庫事務,所有變更都寫入資料庫
return $order->load('items.product'); // 回傳訂單,並且把相關的明細跟商品資訊也一併載入
} catch (\Exception $e) {
DB::rollBack(); // **失敗了!** 回滾資料庫事務,所有操作都撤銷,保持數據一致性
throw $e; // 回滾之後,再把異常拋出去給上層處理
}
}
}
控制器中的使用 (app/Http/Controllers/Api/V1/OrderController.php):
<?php
namespace App\Http\Controllers\Api\V1;
use App\Http\Controllers\Controller;
use App\Http\Requests\StoreOrderRequest; // 假設您已經為訂單創建準備好 Form Request 了
use App\Actions\Orders\CreateOrderAction; // 引入我們剛剛抽離出來的 Action Class
use App\Models\Order;
use App\Http\Resources\OrderResource; // 引入訂單的 API Resource
use Illuminate\Support\Facades\Auth;
class OrderController extends Controller
{
// ... 其他方法像是 index, show, update, destroy 等等,這裡就省略了
/**
* 創建新訂單。
*
* 這個 API 會為當前登入的用戶在所屬租戶下建立一筆新訂單。
* 同時會自動處理商品庫存的扣減喔!
*
* @authenticated
* @bodyParam customer_name string required 顧客的名字啦. Example: Alice Smith
* @bodyParam items array required 訂單裡的商品明細列表.
* @bodyParam items.*.product_id integer required 商品的 ID. Example: 1
* @bodyParam items.*.quantity integer required 訂購的數量. Example: 2
* @response 201 {
* "data": {
* "id": 1,
* "customer_name": "Alice Smith",
* "total_amount": "199.98",
* "status": "pending",
* "created_at": "2023-10-27T11:00:00.000000Z",
* "updated_at": "2023-10-27T11:00:00.000000Z",
* "items": [
* {
* "id": 1,
* "order_id": 1,
* "product_id": 1,
* "quantity": 2,
* "price_per_unit": "99.99",
* "product": {
* "id": 1,
* "name": "新潮小玩意",
* "price": "99.99"
* }
* }
* ]
* }
* }
* @response 400 {
* "message": "輸入的資料有問題喔。",
* "errors": {
* "items": ["商品 '某某商品' 庫存不夠啦。目前庫存: 5, 您要訂: 10"]
* }
* }
* @response 422 {
* "message": "輸入的資料有問題喔。",
* "errors": {
* "customer_name": ["顧客名稱是必填欄位喔。"]
* }
* }
*/
public function store(StoreOrderRequest $request, CreateOrderAction $createOrderAction)
{
// 驗證邏輯都已經在 StoreOrderRequest 裡面處理完了,這裡就不用操心了
$order = $createOrderAction->execute(
Auth::user(), // 把當前登入的用戶(也就是這個租戶的用戶)傳進去
$request->only('customer_name'), // 訂單主要資料
$request->input('items') // 訂單商品明細資料
);
return new OrderResource($order); // 回傳我們包裝好的訂單資料格式
}
// ...
}
這樣一看,控制器是不是輕盈多了?它現在就只負責協調跟呼叫 CreateOrderAction 的 execute 方法,程式碼既精簡又專注。
4. 表單請求 (Form Requests) 的威力
資深前輩們肯定都知道,程式碼裡到處都是 if...else 判斷資料的合法性,實在是有夠阿雜。Laravel 的 Form Request 就是為了解決這個問題而生的,它能把資料驗證跟授權的邏輯完美地跟控制器切開。
為什麼要用 Form Requests?
分工合作 (Separation of Concerns):資料驗證和授權的邏輯,就該有它專屬的位置,不要跟控制器的核心業務邏輯混在一起。
程式碼更易讀:控制器裡的程式碼變短了,讀起來像個指揮家,只發號施令,不自己動手,清爽許多。
重複利用真方便:如果多個地方需要用同一套驗證規則,直接共用 Form Request 就可以了,不用複製貼上,減少錯誤。
自動化處理:驗證沒過?Laravel 會自動幫您處理,網頁請求會自動導回、API 請求會自動回傳 JSON 錯誤訊息,省事又標準。
怎麼創建和使用?
一樣,用 Artisan 命令先產生一個 Form Request:
php artisan make:request StoreProductRequest
範例 (app/Http/Requests/StoreProductRequest.php):
<?php
namespace App\Http\Requests;
use Illuminate\Foundation\Http\FormRequest;
use Illuminate\Support\Facades\Auth;
class StoreProductRequest extends FormRequest
{
/**
* 判斷這個用戶有沒有權限發出這個請求。
* 這就像一道「授權門」,不合資格就直接擋下來。
*/
public function authorize(): bool
{
// 簡單點說,就只有登入的用戶才能建立產品
return Auth::check();
// 如果未來有更複雜的權限控管 (例如,只有「管理員」才能建立產品),
// 您可以導入 spatie/laravel-permission 套件,然後在這裡檢查:
// return Auth::user()->can('create products');
}
/**
* 定義這個請求的驗證規則。
*
* @return array<string, \Illuminate\Contracts\Validation\ValidationRule|array<mixed>|string>
*/
public function rules(): array
{
return [
'name' => ['required', 'string', 'max:255'], // 名稱必填、字串、最長255字
'description' => ['nullable', 'string'], // 描述可選、字串
'price' => ['required', 'numeric', 'min:0'], // 價格必填、數字、最小不能是負數
'stock' => ['required', 'integer', 'min:0'], // 庫存必填、整數、最小不能是負數
];
}
/**
* 自訂錯誤訊息 (可選功能)。
* 如果預設的錯誤訊息您不滿意,可以在這裡自己寫。
*/
public function messages(): array
{
return [
'price.min' => '產品價格不能是負數啦!',
'stock.min' => '產品庫存不能是負數啦!',
];
}
}
控制器中的使用 (app/Http/Controllers/Api/V1/ProductController.php):
<?php
namespace App\Http\Controllers\Api\V1;
use App\Http\Controllers\Controller;
use App\Http\Requests\StoreProductRequest; // 引入我們剛剛建立的 Form Request
use App\Http\Resources\ProductResource; // 引入產品的 API Resource
use Illuminate\Support\Facades\Auth;
class ProductController extends Controller
{
/**
* 創建新產品。
*
* 為當前登入的用戶,在所屬租戶下創建一個新產品。
*
* @authenticated
* @bodyParam name string required 產品名稱. Example: 新潮小玩意
* @bodyParam description string 產品描述. Example: 一個功能超棒的電子產品。
* @bodyParam price float required 產品價格. Example: 99.99
* @bodyParam stock integer required 產品庫存數量. Example: 100
* @response 201 { "status": "success", "data": { ... } }
* @response 422 { "message": "輸入的資料有問題喔。", "errors": { ... } }
*/
public function store(StoreProductRequest $request) // 直接把 Form Request 注入進來
{
// 讚啦!驗證和授權的邏輯都已經在 StoreProductRequest 裡面處理完了,
// 如果資料不合法,請求根本不會跑到這裡來,控制器就乾淨溜溜的。
// 現在 Auth::user() 可以直接用來把產品跟當前用戶關聯起來了。
$product = Auth::user()->products()->create($request->validated()); // 使用 validated() 確保只拿已經驗證過的資料
return new ProductResource($product); // 回傳包裝好的產品資料格式
}
}
是不是很漂亮?控制器現在完全不用管資料驗證那些雜事了,只專心做它該做的事。所有驗證規則和授權邏輯,都已經被移到專門的類別裡了,這完全符合「單一職責原則 (SRP)」,讓程式碼更好讀、更好維護,而且更好測試。
5. API 資源 (API Resources) 的優雅轉換
資深前輩們在開發 API 時,肯定不會直接把 Eloquent Model 原封不動地丟出去吧?那樣會把太多敏感資訊或未經處理的資料暴露出來。API Resources 就是 Laravel 提供的一個超棒工具,能幫您把 Model 資料轉換成漂亮、一致且結構化的 JSON 響應。
為什麼要用 API Resources?
資料格式標準化:確保您每個 API 回傳的資料格式都整齊劃一,隱藏後端實現的細節。
想給什麼就給什麼:精準控制哪些欄位要暴露出去,哪些不該讓前端知道。
關聯資料輕鬆帶:想要回傳產品的同時,也把創建產品的用戶資訊帶出來?API Resources 讓您輕鬆載入關聯 Model 資料。
彈性顯示資料:可以設定條件,只有符合條件時才顯示某些屬性,隱私或權限控管更方便。
如何創建和使用?
一樣,用 Artisan 命令產生:
php artisan make:resource ProductResource
php artisan make:resource OrderResource
範例 (app/Http/Resources/ProductResource.php):
<?php
namespace App\Http\Resources;
use Illuminate\Http\Request;
use Illuminate\Http\Resources\Json\JsonResource;
class ProductResource extends JsonResource
{
/**
* 將資源轉換為陣列格式。
* 這裡就是定義 API 回傳資料長什麼樣子的關鍵。
*
* @return array<string, mixed>
*/
public function toArray(Request $request): array
{
return [
'id' => $this->id,
'name' => $this->name,
'description' => $this->description,
'price' => (float) $this->price, // 確保價格是浮點數,前端才好處理
'stock' => (int) $this->stock, // 確保庫存是整數
'created_at' => $this->created_at->toDateTimeString(), // 格式化時間
'updated_at' => $this->updated_at->toDateTimeString(), // 格式化時間
// 這裡可以放一些條件性顯示的資料,例如:
// 'user_id' => $this->when(Auth::user()->is_admin, $this->user_id), // 只有管理員才看得到 user_id
// 載入關聯的用戶資訊,只有當控制器用 with() 預先載入時才顯示
// 'user' => new UserResource($this->whenLoaded('user')),
];
}
}
控制器中的使用 (app/Http/Controllers/Api/V1/ProductController.php):
<?php
namespace App\Http\Controllers\Api\V1;
use App\Http\Controllers\Controller;
use App\Http\Resources\ProductResource; // 引入產品的 API Resource
use App\Models\Product;
class ProductController extends Controller
{
/**
* 取得所有產品。
*
* 這個 API 會撈出當前租戶下所有產品的列表,並且會自動套用多租戶的資料隔離。
*
* @authenticated
* @response 200 { "status": "success", "data": [ { "id": 1, "name": "...", "price": "..." } ] }
*/
public function index()
{
// 直接用 Product::all() 就可以,因為 Product Model 已經有 ForCurrentTenant Trait,會自動過濾。
// 這裡也可以用分頁:Product::paginate(10);
return ProductResource::collection(Product::all()); // 把整個產品集合包裝成 Resource Collection
}
/**
* 取得單一產品。
*
* 撈出指定 ID 的產品詳細資料。要注意的是,這個產品必須屬於當前登入的用戶和所屬的租戶喔。
*
* @authenticated
* @urlParam product integer required 產品的 ID. Example: 1
* @response 200 { "status": "success", "data": { "id": 1, "name": "...", "price": "..." } }
* @response 404 { "message": "找不到這個商品喔 [App\\Models\\Product] 100" }
*/
public function show(Product $product)
{
// 直接回傳單一產品實例,API Resource 會自動處理格式
return new ProductResource($product);
}
}
API Resources 讓您的 API 響應更專業、更可控,也讓前後端溝通更順暢。
6. 自動化 API 文件 (Laravel Scribe)
寫 API 寫到手軟,還要手動寫文件?寫完文件又懶得更新?這肯定讓很多資深前輩很頭痛吧!scribe.knuckles.wtf 這個 Laravel 專用的 API 文件生成工具,簡直是開發者的救星!它能根據您的程式碼註解,自動生成漂亮又互動的 API 文件。
為什麼要用 Scribe?
自動生成,省時省力:您只需要在控制器裡寫 PHPDoc 註解,Scribe 就會自動幫您產生一份專業的 API 文件,大大減少手動編寫和維護的時間。
程式碼就是文件:因為文件是從程式碼裡生成的,所以能確保文件內容跟實際的 API 保持同步,不會有「文件跟實作對不起來」的窘境。
互動性超高:Scribe 生成的介面,通常是基於 Swagger UI 的,可以直接在上面測試 API,對於前端工程師或外部合作夥伴來說,非常方便。
多語言範例:甚至可以生成不同程式語言的請求範例,團隊協作起來更有效率。
如何利用 Scribe?
安裝 Scribe:
首先,用 Composer 把 Scribe 安裝到您的專案裡(記得是 --dev 開發環境用)。
composer require knuckleswtf/scribe --dev php artisan vendor:publish --tag=scribe-config在控制器中使用註解:
在您的 API 控制器的方法上方,加上 Scribe 支援的 PHPDoc 註解。這些註解會告訴 Scribe 這個 API 的功能、參數、回傳值等等。
// app/Http/Controllers/Api/V1/ProductController.php (部分範例) /** * 取得所有產品。 * * 這個 API 會撈出當前租戶下所有產品的列表,不用擔心資料會錯亂。 * * @authenticated * @queryParam page int 頁碼. Example: 1 * @response 200 { * "status": "success", * "data": [ * { * "id": 1, * "name": "產品 A", * "description": "產品 A 的詳細描述", * "price": 10.50, * "stock": 100, * "created_at": "2023-01-01T12:00:00.000000Z", * "updated_at": "2023-01-01T12:00:00.000000Z" * } * ] * } */ public function index() { /* ... */ } /** * 創建新產品。 * * 為當前登入的用戶在當前租戶下創建一個新的產品。 * * @authenticated * @bodyParam name string required 產品名稱. Example: 新潮小玩意 * @bodyParam description string 產品描述. Example: 一個功能超棒的電子產品。 * @bodyParam price float required 產品價格. Example: 99.99 * @bodyParam stock integer required 產品庫存數量. Example: 100 * @response 201 { * "status": "success", * "data": { * "id": 1, * "name": "新潮小玩意", * "description": "一個功能超棒的電子產品。", * "price": 99.99, * "stock": 100, * "created_at": "2023-10-27T10:00:00.000000Z", * "updated_at": "2023-10-27T10:00:00.000000Z" * } * } * @response 422 { * "message": "輸入的資料有問題喔。", * "errors": { * "name": ["產品名稱是必填欄位喔。"] * } * } */ public function store(StoreProductRequest $request) { /* ... */ }生成文件:
當您寫好註解後,執行這個 Artisan 命令,Scribe 就會自動幫您生成文件了:
php artisan scribe:generate生成的 HTML 文件通常會放在
public/docs或resources/docs(根據您的配置),然後您可以透過http://localhost:8000/api/docs這個網址來查看您漂亮的 API 文件了!
7. 確保品質:端到端測試 (Playwright E2E) 與頁面物件模型 (POM)
資深工程師都知道,光是手動點點點測試是不夠的,自動化測試才是確保軟體品質的王道!特別是像我們這個多租戶 SaaS 專案,要確保不同租戶的資料是隔離的,E2E 測試就更是不可或缺的環節了。
為什麼選擇 Playwright 進行 E2E 測試?
真實模擬用戶操作:Playwright 就像一個模擬用戶,直接在真實的瀏覽器上操作您的應用程式,從前端一直測到後端,確保整個流程都沒問題。
跨瀏覽器支援:它支援 Chrome、Firefox 和 WebKit (Safari 的引擎),確保您的應用程式在主流瀏覽器上都能正常運作。
穩定可靠:相較於一些老牌的自動化測試工具,Playwright 更穩定,寫出來的測試也比較不容易「閃爍」(Flaky tests),也就是有時候過、有時候不過的那種惱人測試。
場景驅動,特別適合多租戶:很適合用來驗證複雜的用戶操作流程,像是我們最關心的多租戶資料隔離,它都能精準地幫您驗證到。
頁面物件模型 (Page Object Model, POM)
POM 是一種設計模式,簡單來說,就是把「測試的邏輯」跟「頁面上的操作細節」分開管理。這樣做有什麼好處?就是讓測試程式碼更清晰、更好維護。
測試程式碼 (
tests/e2e/specs/auth.spec.js):這個檔案主要負責描述「要做什麼測試」,它專注在測試的流程和斷言(也就是判斷結果對不對)。
import { test, expect } from '@playwright/test'; import LoginPage from '../pages/LoginPage'; import DashboardPage from '../pages/DashboardPage'; import { generateRandomEmail, generateRandomTenantDomain } from '../utils/test-helpers'; // 引入輔助函數,生成隨機資料 test.describe('使用者身份驗證', () => { // 定義一個測試群組 let loginPage; let dashboardPage; test.beforeEach(async ({ page }) => { // 在每個測試案例執行前,先初始化頁面物件 loginPage = new LoginPage(page); dashboardPage = new DashboardPage(page); await page.goto('/'); // 讓瀏覽器從根目錄開始 }); test('應該要能讓現有用戶登入並導向儀表板', async ({ page }) => { // 使用 LoginPage 物件的方法,而不是直接操作 DOM 元素 await loginPage.navigate(); // 導航到登入頁 await loginPage.login('tenant.a@example.com', 'password'); // 執行登入操作 // (重要提醒:請確保您的資料庫裡有這個用戶,並且是為 tenant-a.localhost:8000 這個租戶設定的喔!) // 斷言登入成功了,而且應該要導向到這個租戶的儀表板頁面 await expect(page).toHaveURL(/tenant-a\.localhost:8000\/dashboard/); // 用正則表達式來匹配動態的域名 await expect(dashboardPage.welcomeHeading).toBeVisible(); // 檢查儀表板的歡迎標題是不是有顯示 await expect(dashboardPage.getWelcomeMessage()).resolves.toContain('儀表板'); // 確認歡迎訊息包含「儀表板」 }); test('應該要能成功註冊新的租戶和用戶', async ({ page }) => { const registerPage = new RegisterPage(page); // 建立註冊頁面物件 await loginPage.goToRegister(); // 從登入頁點選「註冊」連結,導航到註冊頁 const randomEmail = generateRandomEmail(); // 生成一組隨機的 Email const tenantName = `測試公司-${Date.now()}`; const tenantDomain = generateRandomTenantDomain(); // 生成獨特的租戶域名,確保不重複 // 執行註冊操作,填寫表單並送出 await registerPage.register({ name: '新來的測試用戶', email: randomEmail, password: 'password123', tenantName: tenantName, tenantDomain: tenantDomain }); // 斷言註冊成功,而且會自動導向到這個新租戶專屬的儀表板 await expect(page).toHaveURL(new RegExp(tenantDomain.replace('.', '\\.') + '/dashboard')); // 記得要跳脫特殊字元 await expect(dashboardPage.welcomeHeading).toBeVisible(); // 檢查歡迎標題 await expect(dashboardPage.getWelcomeMessage()).resolves.toContain('儀表板'); // 確認歡迎訊息 }); test('應該要確保不同租戶之間的資料是隔離的', async ({ page }) => { // 1. 登入 Tenant A,並模擬創建一個產品 (這裡簡化為直接呼叫 API) await page.goto('http://tenant-a.localhost:8000/login'); await loginPage.login('tenant.a@example.com', 'password'); await page.waitForURL(/tenant-a\.localhost:8000\/dashboard/); // 實際的 E2E 測試,通常會在這裡模擬用戶在前端的 UI 操作來創建產品。 // 為了簡化,這裡我們直接在瀏覽器環境裡執行 JS 來呼叫後端 API 創建產品。 const tenantAProduct = 'Tenant A 專屬商品 ' + Date.now(); await page.evaluate(async (productName) => { const token = localStorage.getItem('authToken'); // 假設登入後 authToken 存在 localStorage await fetch('/api/v1/products', { method: 'POST', headers: { 'Content-Type': 'application/json', 'Authorization': `Bearer ${token}` }, body: JSON.stringify({ name: productName, description: '這是 Tenant A 專用的測試商品', price: 10.00, stock: 10 }) }); }, tenantAProduct); await loginPage.logout(); // 登出 Tenant A // 2. 登入 Tenant B await page.goto('http://tenant-b.localhost:8000/login'); await loginPage.login('tenant.b@example.com', 'password'); await page.waitForURL(/tenant-b\.localhost:8000\/dashboard/); // 3. 導航到產品列表,然後斷言看不到 Tenant A 剛剛創建的產品 const productListPage = new ProductListPage(page); // 建立產品列表頁面物件 await productListPage.navbar.goToProducts(); // 導航到產品列表頁 await expect(page.locator(`text="${tenantAProduct}"`)).not.toBeVisible(); // 斷言 Tenant A 的產品沒有出現在 Tenant B 的頁面上 }); });頁面物件 (
tests/e2e/pages/LoginPage.js):這個檔案則負責「怎麼做」,它把所有跟登入頁面 UI 互動的細節都包裝起來。
// tests/e2e/pages/LoginPage.js import BasePage from './BasePage'; // 引入基礎頁面物件,共用通用功能 import { expect } from '@playwright/test'; class LoginPage extends BasePage { /** * @param {import('@playwright/test').Page} page Playwright 的 Page 物件 */ constructor(page) { super(page); // 把所有 UI 元素的選擇器都集中在這裡定義 this.emailInput = page.locator('input[type="email"]'); this.passwordInput = page.locator('input[type="password"]'); this.loginButton = page.locator('button[type="submit"]'); this.registerLink = page.locator('a[href="/register"]'); this.errorMessage = page.locator('.error-message'); // 通用的錯誤訊息選擇器 } /** * 導航到登入頁面。 */ async navigate() { await super.navigate('/login'); // 假設登入頁面的路徑是 /login await expect(this.loginButton).toBeVisible(); // 檢查登入表單是不是已經載入完成了 } /** * 執行登入操作。 * @param {string} email - 用戶的電子郵件。 * @param {string} password - 用戶的密碼。 */ async login(email, password) { await this.emailInput.fill(email); // 填入 Email await this.passwordInput.fill(password); // 填入密碼 await this.loginButton.click(); // 點擊登入按鈕 } /** * 點擊註冊連結,導航到註冊頁面。 */ async goToRegister() { await this.registerLink.click(); // 點擊註冊連結 await this.page.waitForURL(/register/); // 等待頁面導航到註冊頁面 (假設路徑是 /register) } /** * 取得錯誤訊息元素的文本內容。 * @returns {Promise<string>} 錯誤訊息的文字內容。 */ async getErrorMessage() { await expect(this.errorMessage).toBeVisible(); // 確保錯誤訊息有顯示出來 return this.errorMessage.textContent(); // 回傳錯誤訊息的文字 } } export default LoginPage;優勢:您想,如果未來登入頁面的設計變更了(比如輸入框的
id換了),我們只需要修改LoginPage.js這一個檔案,所有用到登入功能的測試案例都不用動到!這大大提升了測試程式碼的「可讀性」、「可維護性」和「可擴展性」。
8. 持續整合與部署 (CI/CD)
資深工程師,不只會寫程式,更要會「自動化」!持續整合 (CI) 和持續部署 (CD) 對於軟體交付的品質和效率來說,根本就是基本配備。GitHub Actions 是一個功能強大的 CI/CD 工具,能自動化您的建置、測試和部署流程,省去您多少人工操作的麻煩啊!
為什麼專案需要 CI/CD?
品質有保障:每次您把程式碼丟上去 (Push),CI/CD 就會自動幫您跑測試。一有問題馬上就知道,早期發現早期治療,省下後面改 Bug 的時間。
快速交付不拖拉:把部署流程自動化,減少人工操作可能帶來的錯誤,讓新功能上線更快、更穩定。
團隊協作無縫接軌:確保不同工程師寫出來的程式碼,在各種環境下都能保持一致性,減少整合時的「驚喜」。
GitHub Actions (.github/workflows/ci.yml)
這裡提供一個簡化的 CI 流程範本,主要用來確保多租戶 SaaS 樣板的程式碼品質:
name: CI Pipeline # CI 流程的名稱,顯示在 GitHub Actions 頁面上
on:
push:
branches: [ main ] # 當程式碼推送到 main 分支時觸發這個流程
pull_request:
branches: [ main ] # 當有 Pull Request 要合併到 main 分支時也觸發
jobs:
build-and-test: # 定義一個任務:建置與測試
runs-on: ubuntu-latest # 這個任務會跑在最新版的 Ubuntu 虛擬機上
steps:
- name: Checkout code # 步驟一:把倉庫裡的程式碼抓下來
uses: actions/checkout@v3
- name: Set up Docker Compose environment # 步驟二:設定 Docker Compose 環境
run: |
# 因為這個倉庫是個「樣板」,這裡我們需要模擬一下,把文件複製到一個新的專案目錄
mkdir -p my-saas-app
cp -r . my-saas-app/ # 複製樣板文件到模擬的專案目錄
cd my-saas-app
cp .env.example .env # 複製 .env 範本檔案
# 啟動 Docker 服務,並且 `--wait` 會等待服務都啟動完畢,並通過健康檢查
docker-compose up -d --build --wait
- name: Install dependencies and initialize database # 步驟三:安裝依賴並初始化資料庫
working-directory: ./my-saas-app # 在模擬的專案目錄中執行這些命令
run: |
docker-compose exec app composer install # 安裝 PHP 的 Composer 依賴
docker-compose exec app npm install # 安裝 Node.js 的 NPM 依賴
docker-compose exec app npm run build # 編譯前端的資產 (例如 Vue/React 或 Vite 編譯)
docker-compose exec app php artisan key:generate # 生成 Laravel 應用程式的 APP_KEY
docker-compose exec app php artisan migrate --seed # 運行資料庫遷移,建立表格並填充範例數據
- name: Add local hosts entries for multi-tenancy testing # 步驟四:為多租戶測試添加本地 hosts 條目
# 因為 CI 環境不會自動設置 hosts 文件,我們在這裡為 Docker 容器模擬這個設置
run: |
echo "127.0.0.1 tenant-a.localhost" | sudo tee -a /etc/hosts # 添加 tenant-a.localhost
echo "127.0.0.1 tenant-b.localhost" | sudo tee -a /etc/hosts # 添加 tenant-b.localhost
# 這樣 Playwright 在容器內運行時,才能正確解析這些虛擬域名
- name: Run Playwright E2E tests # 步驟五:運行 Playwright 端到端測試
working-directory: ./my-saas-app # 在模擬的專案目錄中執行
run: |
# 安裝 Playwright 瀏覽器 (在 CI 環境中,這通常是第一次運行,需要下載瀏覽器核心)
docker-compose exec app npx playwright install --with-deps
# 執行所有 E2E 測試
docker-compose exec app npm run test:e2e
# TODO: 如果您有寫 PHPUnit 的單元測試或功能測試,可以在這裡添加步驟
# - name: Run PHPUnit tests
# working-directory: ./my-saas-app
# run: docker-compose exec app php artisan test
# TODO: 如果您有集成 Allure Report 來產生漂亮的測試報告,可以在這裡添加步驟
# - name: Generate Allure report
# working-directory: ./my-saas-app
# run: docker-compose exec app npm run allure:generate # 確保 package.json 裡有定義這個腳本
# - name: Publish Allure report (Example)
# uses: actions/upload-artifact@v3
# with:
# name: allure-report
# path: my-saas-app/allure-report/ # 這裡是報告的路徑
# 部署步驟 (例如,部署到生產伺服器或雲服務商)
# - name: Deploy to Production
# if: github.ref == 'refs/heads/main' # 只有當程式碼推送到 main 分支時才觸發部署
# run: |
# # 在這裡執行您的部署腳本,例如 SSH 到伺服器、拉取最新程式碼、運行資料庫遷移等等
# echo "開始部署到生產環境..."
優勢:有了這個 CI/CD 流程,每次您把程式碼推送到 GitHub,Actions 就會自動跑一輪,然後在您的 Pull Request 上顯示一個綠色的勾勾。這不只默默地告訴合作夥伴:「我的專案品質有保障!」,更是向未來面試官展示您對現代 CI/CD 實踐有深刻理解的最佳方式。
9. 基礎設施與容器化開發 (Dockerized Development)
資深工程師肯定都經歷過各種環境配置的「痛」。專案 A 用 PHP 7.4,專案 B 用 PHP 8.2,MySQL 版本還不一樣,搞到最後電腦裡一堆環境衝突。Docker 就是來解決這些問題的救星!它讓您的開發環境一致化,部署起來也更簡單。
為什麼要用 Docker?
環境一致性,告別「在我電腦可以跑」:Docker 把應用程式跟它所有需要的東西(像是 PHP、MySQL、Redis、Nginx 等等)都打包在一個獨立的容器裡。這樣一來,不管哪個開發者,用什麼作業系統,跑起來的環境都是一模一樣的,再也不會聽到那句「在我電腦可以跑,你是不是環境沒裝好?」這種話了。
依賴隔離,乾淨不打架:每個應用程式都有自己的容器,它需要的依賴(套件、軟體版本)都只在自己的容器裡,不會跟您電腦裡其他的應用程式打架。
新手上路超快速:新進的同事,只要裝好 Docker,用幾個命令就能把整個專案環境跑起來,不用花好幾天去配置環境,大大加快新成員的上手速度。
開發部署一條龍:開發環境、測試環境跟生產環境都用 Docker,確保了不同環境的相似性,這樣在開發階段遇到的問題,在生產環境發生的機率就更低了,部署起來也更順暢。
核心 Docker 組件 (docker-compose.yml)
您的多租戶 SaaS 專案,可能會包含以下這些常見的服務,然後我們用 docker-compose.yml 來把它們串起來:
# docker-compose.yml
version: '3.8' # Docker Compose 的版本
services:
# Laravel 應用程式服務 (包含了 Nginx, PHP-FPM, Composer, NPM, Playwright 測試運行器)
# 為了簡化,所有跟網頁相關的工具和 Playwright 都打包在這個服務裡了。
app:
build:
context: . # 建置 Docker image 的上下文是目前目錄
dockerfile: Dockerfile # 使用目前的 Dockerfile
args:
- UID=${UID:-1000} # 用來匹配主機的用戶 ID,避免文件權限問題
container_name: ${PROJECT_NAME}_app # 容器的名稱
ports:
- "8000:8000" # 把主機的 8000 端口映射到容器的 8000 端口 (Nginx/Laravel 運行在這上面)
volumes:
- .:/var/www/html # 把目前的專案目錄掛載到容器裡的 /var/www/html,這樣您改程式碼,容器裡就同步了
- app_node_modules:/var/www/html/node_modules # 為 node_modules 獨立建立一個卷,避免權限問題跟重複安裝
environment: # 這些環境變數會被 Laravel 應用程式使用 (會從 .env 檔案讀取)
# 請確認您專案根目錄的 .env 檔案有這些設定,不然就會用後面的預設值
DB_CONNECTION: mysql
DB_HOST: mysql # 指向資料庫服務的名稱
DB_PORT: 3306
DB_DATABASE: ${DB_DATABASE:-${PROJECT_NAME}_db} # 如果 .env 沒設,就用預設值
DB_USERNAME: ${DB_USERNAME:-laravel_user}
DB_PASSWORD: ${DB_PASSWORD:-laravel_secret}
depends_on: # 這個服務啟動前,需要等哪些服務啟動
- mysql
networks: # 加入哪個網路
- app_network
healthcheck: # 容器的健康檢查,確保服務是真的可以用了
test: ["CMD", "curl", "-f", "http://localhost:8000/up"] # 檢查 Laravel 的 /up 路由是否回傳成功
interval: 30s # 每 30 秒檢查一次
timeout: 10s # 超時時間 10 秒
retries: 5 # 失敗重試 5 次
start_period: 20s # 給服務 20 秒啟動時間,期間不檢查
# MySQL 資料庫服務
mysql:
image: mysql:8.0 # 使用指定的 MySQL 版本,建議不要用 latest
container_name: ${PROJECT_NAME}_mysql # 容器名稱
ports:
- "3306:3306" # 可選:把主機的 3306 映射到容器的 3306,方便用本地工具連接資料庫
environment:
MYSQL_ROOT_PASSWORD: ${MYSQL_ROOT_PASSWORD:-root_secret} # MySQL 的 root 密碼
MYSQL_DATABASE: ${DB_DATABASE:-${PROJECT_NAME}_db} # 資料庫名稱
MYSQL_USER: ${DB_USERNAME:-laravel_user} # Laravel 應用程式用的資料庫用戶
MYSQL_PASSWORD: ${DB_PASSWORD:-laravel_secret} # Laravel 應用程式用的資料庫用戶密碼
volumes:
- mysql_data:/var/lib/mysql # 持久化資料庫數據,這樣容器重啟資料也不會丟
networks:
- app_network
healthcheck: # 資料庫的健康檢查
test: ["CMD", "mysqladmin", "ping", "-h", "localhost", "-u", "root", "-p${MYSQL_ROOT_PASSWORD:-root_secret}"]
interval: 10s
timeout: 5s
retries: 5
start_period: 10s # 給資料庫一些啟動時間
# 定義網路,讓不同的服務可以在同一個網路裡互相溝通
networks:
app_network:
driver: bridge # 使用橋接網路
# 定義數據卷,用於數據持久化
volumes:
mysql_data: # MySQL 資料的持久化卷
app_node_modules: # node_modules 的持久化卷,避免每次重啟都要重新 npm install
只要簡單執行 docker-compose up -d --build,您就可以一鍵啟動整個開發環境,是不是超方便?
10. 安全性與用戶體驗強化 (Security & UX Enhancements)
資深工程師不只關心功能做得出來,更會把「非功能性需求」放在心上,像是安全性夠不夠?跑得快不快?用起來順不順手?這些都是讓專案脫胎換骨的關鍵。
安全性強化
API 速率限制 (Rate Limiting):想像一下,有人惡意暴力破解您的登入 API?沒設速率限制就慘了!在
app/Providers/RouteServiceProvider.php裡,為登入、註冊這些比較敏感的路由設定更嚴格的速率限制,可以有效防止這類攻擊。// 在 RouteServiceProvider 的 boot 方法中 use Illuminate\Cache\RateLimiting\Limit; use Illuminate\Http\Request; use Illuminate\Support\Facades\RateLimiter; public function boot(): void { // 定義 API 的通用限速:每分鐘最多 60 次請求,按用戶 ID 或 IP 來限制 RateLimiter::for('api', function (Request $request) { return Limit::perMinute(60)->by($request->user()?->id ?: $request->ip()); }); // 特別為登入嘗試設定更嚴格的限制 RateLimiter::for('login', function (Request $request) { // 每分鐘最多 5 次登入嘗試,按 Email 或 IP 來限制 return Limit::perMinute(5)->by($request->email ?: $request->ip())->response(function (Request $request, array $headers) { // 如果超過限制,就回傳 429 狀態碼和訊息 return response('您嘗試太多次囉,請稍後再試。', 429, $headers); }); }); $this->routes(function () { // 定義 API 路由 Route::middleware('api') ->prefix('api') ->group(base_path('routes/api.php')); // 定義 Web 路由 Route::middleware('web') ->group(base_path('routes/web.php')); }); } // 然後,您需要在 routes/web.php 或 api.php 裡把這個限速規則套用到登入路由上: // Route::post('/login', [AuthController::class, 'login'])->middleware('throttle:login');RBAC (Role-Based Access Control) 基礎:雖然這個專案目前還沒有非常複雜的角色權限,但身為資深工程師,我們要有前瞻性!可以考慮在
users表格裡加個role欄位(或是用spatie/laravel-permission套件),然後在 Form Request 或控制器裡加入基於角色的授權邏輯。// 在 StoreProductRequest 的 authorize() 方法中 public function authorize(): bool { // 假設您已經整合了 spatie/laravel-permission,可以直接檢查用戶是否有特定角色 return Auth::check() && (Auth::user()->hasRole('admin') || Auth::user()->hasRole('editor')); }這樣一來,專案的完整性就更上一層樓了,也展示了您對企業級資安的考量。
用戶體驗強化 (UX Enhancements)
美觀的確認彈窗:瀏覽器原生的
alert()和confirm()彈窗,醜醜的又不能自訂樣式,用起來體驗很差。這時候,您可以導入像 SweetAlert2 這種第三方套件,提供更漂亮、功能更豐富的彈窗,大大提升用戶互動的體驗。// 首先,您需要安裝 SweetAlert2: npm install sweetalert2 // 然後在您的 JavaScript 檔案中引入並使用它: import Swal from 'sweetalert2'; // 假設您已經安裝並引入 SweetAlert2 async function deleteProduct(productId) { // 彈出一個漂亮的確認視窗 const result = await Swal.fire({ title: '確定要刪除嗎?', text: '這個操作會把資料刪掉,而且不能復原喔!', icon: 'warning', // 顯示警告圖示 showCancelButton: true, // 顯示取消按鈕 confirmButtonColor: '#3085d6', // 確認按鈕的顏色 cancelButtonColor: '#d33', // 取消按鈕的顏色 confirmButtonText: '對,刪除它!', // 確認按鈕文字 cancelButtonText: '先不要' // 取消按鈕文字 }); // 如果用戶點擊了「確認刪除」 if (result.isConfirmed) { try { // 這裡就是發送 API 請求到後端刪除產品 const response = await fetch(`/api/v1/products/${productId}`, { method: 'DELETE', headers: { 'Accept': 'application/json', 'Authorization': `Bearer ${localStorage.getItem('authToken')}` // 確保帶上認證 Token } }); const data = await response.json(); // 解析回傳的 JSON 資料 // 根據後端回傳的結果顯示訊息 if (response.ok) { // 如果 HTTP 狀態碼是 2xx (成功) Swal.fire('刪除成功!', '產品已經被我刪掉了!', 'success'); // 顯示成功訊息 // 這裡可以呼叫函數來刷新產品列表,讓刪除的項目消失 // fetchProducts(); } else { // 如果有錯誤,顯示錯誤訊息 Swal.fire('錯誤!', data.message || '刪除產品時發生問題了。', 'error'); } } catch (error) { console.error('刪除產品時發生網路錯誤:', error); Swal.fire('錯誤!', '連線伺服器刪除產品失敗,請檢查網路。', 'error'); } } }優勢:跟瀏覽器內建的
alert()和confirm()相比,這些現代化的彈窗不只樣式好看,還能提供更豐富的互動和更好的錯誤提示,讓您的應用程式用起來更順手,用戶體驗更上一層樓。
❓ 資深前輩們常見問題與設計決策 (FAQ & Design Decisions)
這些問題不是要考您,而是希望透過這些問答,讓您對這個專案的深層設計理念和每個決策背後的考量有更全面的理解。
Q1: 這個專案的目標是什麼?它解決了哪些痛點?
A: 各位前輩,這份專案主要是一個 Laravel 多租戶 SaaS 訂單管理平台的「樣板」。我們的目標很明確:提供一個功能齊全、開箱即用的基礎架構,讓其他開發者能快速啟動自己的 SaaS 產品。您想想,從零開始搞多租戶架構、用戶認證、API 文件,還有那些搞死人的自動化測試和容器化部署,這些都是非常耗時又複雜的重複性工作。這個樣板就是把這些最難的環節都先處理好了,讓您能直接站在巨人的肩膀上,把寶貴的時間花在開發核心業務邏輯上,這就是它解決的最大痛點。
Q2: 為什麼選擇 Spatie 的多租戶套件,而不是自己造輪子?
A: 相信各位資深前輩,對「不要重複造輪子」這句話一定深有體會。Spatie 的
laravel-multitenancy套件,在社群裡可是經過大量驗證的,功能穩定、設計精良。它把底層那些複雜的租戶切換邏輯(像是資料庫連線、快取、佇列等等)都抽象化了,讓您可以更專注在業務上。選擇這樣成熟又廣受好評的開源解決方案,是業界的最佳工程實踐之一,不僅能大幅提升開發效率,程式碼品質也更有保障。何樂而不為呢?
Q3: 我可以在這個樣板基礎上擴展功能嗎?例如加入金流支付或物流發貨功能?
A: 當然可以啊!這正是這個樣板的價值所在,它提供了一個堅固的「骨架」,讓您後續擴展功能變得非常容易。舉例來說,您可以輕鬆地新增一個
PaymentController,然後把 Stripe 或 PayPal 的金流 API 整合進來;或者,為了追蹤物流狀態,可以建立一個Shipment模型,搭配適當的 API 介面。由於整個專案是採用「API-First」的架構,這類型的功能擴充和外部服務整合,會因為介面清晰而變得更簡單,您只需要專心把新的業務邏輯搞定就好。
Q4: 這個專案在部署到生產環境時,還需要考慮哪些優化?
A: 說到部署上線,各位前輩肯定經驗豐富。雖然這個樣板已經很「Ready」了,但要上生產環境,還有一些關鍵的「細節」需要注意:
資安防護再升級: 一定要配置真正的 HTTPS 憑證(例如用 Let's Encrypt)、把 API 速率限制調整得更嚴格(特別是登入這種敏感操作),然後,如果您的業務夠複雜,強烈建議導入更細緻的權限管理(像是 RBAC,可以搭配
spatie/laravel-permission)。效能優化是王道: 啟用 Laravel 的設定快取和路由快取 (
php artisan config:cache,php artisan route:cache) 絕對是基本功;然後,開啟 PHP 的 OPcache 能大幅提升 PHP 執行效能;最後,對資料庫查詢做深度優化(想想看 N+1 查詢問題解決了沒?索引是不是都建好了?)會是提升整體效能的關鍵。監控與日誌不能少: 整合像 Sentry 或 Laravel Telescope 這類的工具,可以幫您監控應用程式的性能、追蹤錯誤和分析日誌。有問題的時候,能快速發現並解決,這在生產環境下非常重要。
備份策略要做好: 數據是公司的命脈!務必制定並落實可靠的資料庫和檔案儲存自動備份與恢復計畫,確保意外發生時能全身而退。
高併發的擴展性: 如果未來流量大增,可能需要考慮更進階的部署策略,像是導入負載均衡、擴展 PHP-FPM 服務、用 Redis 佇列工作者(Queue Worker)處理異步任務,甚至評估導入 Kubernetes 來做容器編排,這些都是為了應對更高的流量和複雜度。
