Laravel通过temporarySignedRoute生成带时效的签名URL，结合signed中间件验证链接有效性，确保邮箱验证、密码重置等场景的安全性。1. 使用URL::temporarySignedRoute生成含expires和signature参数的URL，指定过期时间；2. 路由需命名并应用middleware('signed')自动校验签名与时间戳；3. 控制器中可直接处理业务逻辑，无效或过期链接将返回403错误；4. 也可手动调用$request->hasValidSignature()进行条件判断；5. 注意APP_KEY配置、服务器时间同步及避免传递敏感信息，建议启用HTTPS加密传输。该机制依赖应用密钥签名防篡改，有效期精确控制，提升安全性。

Laravel 生成和验证带时效性的 URL，通常用于实现邮箱验证、密码重置链接、临时访问授权等场景。这类链接在一定时间后自动失效，确保安全性。Laravel 自带的 URL 签名（Signed URLs） 功能可以轻松实现这一需求。

1. 生成带时效性的签名 URL

Laravel 提供了 temporarySignedRoute 方法来生成带有签名和过期时间的 URL。该 URL 包含签名和时间戳，Laravel 可以验证其完整性和有效期。

use Illuminate\Support\Facades\URL;

$expires = now()->addMinutes(30); // 链接有效期为 30 分钟

$signedUrl = URL::temporarySignedRoute(
    'user.activate', // 路由名称
    $expires,        // 过期时间
    ['id' => $user->id] // 路由参数
);

生成的 URL 类似于：

https://example.com/activate/1?expires=1700000000&signature=abc123...

其中 expires 是 Unix 时间戳，signature 是 Laravel 使用密钥生成的哈希值，防止篡改。

2. 定义接收签名 URL 的路由

需要在 routes/web.php 中定义对应的命名路由，并使用 ->hasValidSignature() 中间件验证签名。

Route::get('/activate/{id}', [UserController::class, 'activate'])
    ->name('user.activate')
    ->middleware('signed');

middleware('signed') 会自动调用 hasValidSignature()，检查 URL 是否被篡改或已过期。

3. 在控制器中处理请求

如果签名无效或已过期，Laravel 会自动返回 403 错误。你可以在控制器中直接处理业务逻辑。

public function activate(Request $request, $id)
{
    // 签名已通过中间件验证，可安全执行操作
    $user = User::findOrFail($id);
    $user->update(['active' => true]);

    return redirect()->route('home')->with('success', '账户已激活！');
}

4. 手动验证签名（可选）

如果不使用 signed 中间件，也可以在控制器中手动验证：

if (! $request->hasValidSignature()) {
    abort(403, '无效或已过期的链接');
}

这种方法适合在特定逻辑分支中进行判断。

5. 注意事项

• 确保 .env 文件中的 APP_KEY 已设置，签名依赖此密钥。
• 时间同步很重要，服务器时间偏差可能导致签名验证失败。
• 避免在签名 URL 中传递敏感数据，URL 本身是明文传输（建议使用 HTTPS）。
• 可通过配置 config/app.php 中的 ttl 控制缓存相关行为，但签名有效期由生成时指定。