CodeIgniter4 中过滤器`except`参数在required数组中的使用限制

问题背景

在CodeIgniter4框架中，过滤器系统提供了一种灵活的方式来处理HTTP请求。其中，$required和$globals是两个重要的过滤器数组配置项，它们决定了哪些过滤器会在请求处理流程中被自动应用。

核心问题

开发者在使用$required数组配置过滤器时，发现except参数无法正常工作。具体表现为：

'toolbar' => ['except' => 'api/*']

当尝试在$required数组中这样配置时，期望工具栏过滤器不会在API控制器中运行，但实际上这个配置并未生效。

技术解析

1. $required过滤器的特性

$required数组中的过滤器具有以下特点：

• 这些过滤器会在每一个请求中被自动应用
• 它们会忽略任何附加参数（如except）
• 执行顺序早于路由处理

这种设计是框架有意为之的，因为$required过滤器通常用于那些必须对所有请求都生效的核心功能，如CSRF保护、身份验证等。

2. $globals过滤器的特性

相比之下，$globals数组中的过滤器：

• 可以接受附加参数（如except和only）
• 执行顺序在路由处理之后
• 可以根据URL路径进行条件性应用

3. 解决方案

对于工具栏这类不需要在所有请求中运行的过滤器，正确的做法是将其配置在$globals数组中：

'globals' => [
    'before' => [],
    'after' => [
        'toolbar' => ['except' => 'api/*']
    ]
]

最佳实践建议

1. 核心安全过滤器：如CSRF保护、IP限制等应该放在$required数组中
2. 选择性过滤器：如调试工具栏、缓存控制等应该放在$globals数组中
3. 性能考虑：$required过滤器会应用于所有请求，应尽量减少其中的过滤器数量
4. 路由感知：需要根据路由决定是否应用的过滤器必须使用$globals

框架设计理念

这种设计体现了CodeIgniter4框架的几个核心理念：

• 明确区分必须和可选的请求处理逻辑
• 通过配置而非代码来实现灵活的行为控制
• 为性能优化提供明确路径（减少不必要的过滤器执行）

理解这些设计原则有助于开发者更合理地使用过滤器系统，构建出既安全又高效的Web应用。