withRouting( web: __DIR__.'/../routes/web.php', commands: __DIR__.'/../routes/console.php', health: '/up', ) ->withMiddleware(function (Middleware $middleware): void { // /api/auth/* размещены в web.php (см. routes/web.php) и используют // session-based Sanctum auth. Token-based mode (через api.php) пока // не нужен — добавим если понадобится для интеграций. $middleware->alias([ 'tenant' => SetTenantContext::class, 'saas-admin' => EnsureSaasAdmin::class, ]); // Webhook receive endpoint (POST /api/webhook/{token}) не должен требовать // CSRF — запросы приходят от внешних CRM-систем без сессии браузера. // Авторизация — через webhook_token в URL + (на prod) HMAC. $middleware->validateCsrfTokens(except: [ 'api/webhook/*', ]); }) ->withExceptions(function (Exceptions $exceptions): void { $exceptions->render(function (QueryException $e, Request $request) { Log::error('db.query_exception', [ 'message' => $e->getMessage(), 'sql' => $e->getSql(), 'path' => $request->path(), ]); if ($request->expectsJson()) { return response()->json([ 'message' => 'Не удалось сохранить. Проверьте данные или попробуйте ещё раз.', ], 422); } return null; // default render for non-JSON }); // Supplier webhook always returns JSON, even when client omits Accept header. // Without this render, Laravel's default ValidationException handler returns // 302 redirect to /, which strips POST body — losing supplier leads. // Confirmed 2026-05-25: 76 of 234 webhook hits today got 302 instead of 422. $exceptions->render(function (\Illuminate\Validation\ValidationException $e, Request $request) { if ($request->is('api/webhook/supplier/*')) { return response()->json([ 'message' => 'Validation failed', 'errors' => $e->errors(), ], 422); } return null; // default render for other routes }); })->create();