Laravel隐藏字段方法详解

Laravel 的 `$hidden` 属性虽是隐藏敏感字段（如密码、token）最基础的安全手段，但其作用范围极其有限——仅对当前模型实例的序列化生效，完全不覆盖关联模型、事件广播、API Resource 或中间件响应；若未在 Post 模型中单独定义 `$hidden`、未在 `broadcastWith()` 中手动筛选字段、未在 `UserResource::toArray()` 中条件化处理，或误以为 `makeHidden()` 能递归影响关联数据，就极易导致敏感信息意外泄露，轻则违反安全规范，重则引发生产事故。真正关键的不是“怎么写”，而是时刻清醒认知 `$hidden` 的边界，在广播、关联、资源层主动防御，把安全控制权牢牢掌握在自己手中。

$hidden 是 Laravel 模型字段隐藏的起点，但仅对模型自身序列化生效；它不自动作用于关联模型、事件广播或中间件响应，误用会导致敏感字段意外泄露。

模型里用 $hidden 隐藏字段，但只管当前模型

你在 User 模型里写 protected $hidden = ['password', 'remember_token']，那只要调用 $user->toArray() 或 $user->toJson()，这两个字段就一定不会出现——这是最轻量、最确定的屏蔽方式。

• 它只影响该模型实例的原始属性（数据库字段 + 访问器生成的属性），不递归处理 $user->posts 这类关联集合
• 如果 Post 模型也有敏感字段，必须在 Post 类里单独定义 $hidden
• 别把字段名写错：比如数据库字段是 password_hash，但模型里写成 'password'，那就白设了——$hidden 匹配的是 getAttribute() 返回的键名
• 和 $casts 冲突时，$hidden 优先级更高；哪怕你把 password 转成字符串，只要在 $hidden 里，照样不输出

API Resource 里手动构造数组，才能做条件化隐藏

$hidden 是静态的、全有或全无的；一旦你需要“管理员能看到 last_login_at，普通用户看不到”，就必须用 UserResource 的 toArray() 方法。

• 别直接 return $this->resource->toArray() —— 这会绕过你写的逻辑，也绕过 $hidden（因为 toArray() 已执行过一次）
• 字段名必须和模型属性名一致：$this->last_login_at，不是 $this->lastLoginAt（除非你定义了访问器）
• 不要在 toArray() 里查库或调用耗时方法，容易拖慢接口；权限判断尽量用 $request->user()?->can() 这种已加载好的数据
• 如果返回关联模型（如 'profile' => $this->profile），记得它也会走自己的 $hidden 规则——没定义就全量输出

事件广播里 $hidden 完全不生效，必须显式筛字段

模型事件（如 UserCreated）触发广播时，$user->toArray() 不受 $hidden 约束。这是最常被忽略的泄露点。

• 绝对不要写 event(new UserCreated($user->toArray()))，密码、token 全都会发出去
• 改用 $user->only(['id', 'name', 'email'])，或在模型里加个 toBroadcastArray() 方法统一维护
• 如果用了 ShouldBroadcast，broadcastWith() 返回的数组就是最终广播内容，必须手工过滤，不能依赖模型自动行为
• 别在 broadcastWith() 里调用 $user->posts 这类关系加载——既可能 N+1，又可能把关联模型的敏感字段一并带出去

makeHidden() 只作用于当前实例，且对关联无效

$user->makeHidden(['api_token']) 看起来灵活，但它只临时修改这个 $user 实例，不影响任何其他查询结果，也不影响 $user->posts 里的每个 Post。

• 常见错误：以为 $user->load('posts')->makeHidden(['email']) 能让 posts.0.user.email 消失——其实 posts 里的 User 实例仍是原始状态
• 想隐藏关联字段，要么在关联模型里设 $hidden，要么对集合单独调用：$user->posts->makeHidden(['content'])
• makeHidden() 是追加隐藏，不是覆盖：模型已有 $hidden = ['password']，再调 makeHidden(['token'])，结果是两个都藏
• 在 Resource 里用它，必须显式调用 toArray()：'user' => $this->user->makeHidden(['token'])->toArray()，否则无效

真正难的不是怎么写 $hidden，而是记住它在哪起作用、在哪彻底失效——尤其是事件广播和关联模型这两处，最容易漏掉，一漏就是生产事故。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《Laravel隐藏字段方法详解》文章吧，也可关注golang学习网公众号了解相关技术文章。