laravel通过内置中间件实现API速率限制,可在RouteServiceProvider中定义策略,如按用户身份动态限流,或在路由中使用throttle:10,1设置独立规则,超限时返回429状态码及限流头部信息。
Laravel 为 API 请求提供了简单而强大的速率限制功能,可以有效防止接口被恶意刷请求或过度调用。通过内置的中间件和配置,你可以轻松为 API 路由设置每分钟、每小时等时间窗口内的最大请求数。
启用 API 速率限制
Laravel 默认在 app/http/Kernel.php 中为 api 路由组启用了频率限制中间件。查看该文件中的 $middlewareGroups 配置:
'api' => [
...
IlluminateRoutingMiddlewareThrottleRequests::class . ':api',
],
其中 :api 表示使用配置文件中名为 api 的限流策略。这个策略定义在 app/Providers/RouteServiceProvider.php 的 configureRateLimiting() 方法中。
自定义速率限制规则
打开 app/Providers/RouteServiceProvider.php,在 configureRateLimiting() 方法内可以定义更精细的限流策略。例如,设置 API 每分钟最多 60 次请求:
use IlluminateSupportFacadesRateLimiter;
RateLimiter::for('api', function ($request) {
return IlluminateCacheRateLimitingLimit::perMinute(60);
});
你也可以根据用户身份动态调整限制:
RateLimiter::for('api', function ($request) {
if ($request->user()?->isPremium()) {
return Limit::perMinute(100)->by($request->user()->id);
}
return Limit::perMinute(60)->by($request->ip());
});
上面的例子表示:如果是高级用户,按用户 ID 限流 100 次/分钟;普通用户则按 IP 限制 60 次/分钟。
为特定路由设置独立限流
如果你只想对某些 API 接口单独限流,可以在路由中直接使用 throttle: 中间件。例如:
Route::middleware(['throttle:10,1'])->post('/login', [AuthController::class, 'login']);
这表示登录接口每分钟最多允许 10 次请求。格式为 throttle:requests,minutes。
也可以组合多个限制:
'throttle:5,1|auth'
表示同时应用限流和认证中间件。
返回的响应与调试
当请求超出限制时,Laravel 会自动返回状态码 429 Too Many Requests,并在响应头中包含以下信息:
- X-RateLimit-Limit:总请求数上限
- X-RateLimit-Remaining:剩余可请求数
- Retry-After:多少秒后可重试(部分情况下)
这些头部有助于客户端判断是否需要暂停请求。
基本上就这些。合理配置速率限制能提升 API 安全性和稳定性,建议结合缓存驱动(如 redis)以支持分布式环境下的准确计数。
以上就是laravel如何为API请求添加速率限制_Laravel API速率限制配置方法的详细内容,更多请关注php中文网其它相关文章!