Laravel API 速率限制核心是 throttle 中间件配合缓存驱动,支持按 IP、用户 ID 或自定义策略(如角色)限流,自动返回 429 状态码及 X-RateLimit-* 响应头,生产环境需用 Redis 避免 file 缓存失效。
在 Laravel 中实现 API 速率限制,核心是利用框架内置的 throttle 中间件,配合缓存驱动(如 Redis 或 file)来记录请求频次。关键在于合理配置限流策略、作用域和响应行为,而不是手动计数。
最简单的方式是在路由定义中直接使用 throttle:60,1,表示每分钟最多 60 次请求:
其中数字分别代表「最大请求数」和「时间窗口(分钟)」。Laravel 默认使用 IP 地址作为识别依据,同一 IP 超过阈值会返回 429 状态码。
对已认证用户启用更精准的限流,避免未登录用户挤占配额:
app/Http/Kernel.php 的 $middlewareGroups 中确认 throttle:api 已启用throttle:60,1,by=auth 或更明确地写成 throttle:100,1,by=id
id 作为 key,不同用户互不影响在 App\Providers\RouteServiceProvider 的 configureRateLimiting 方法中注册策略:
然后在路由中调用:middleware('throttle:premium_api')。这样免费用户走 60 次/分钟,付费用户提升到 500 次/分钟。
Laravel 自动在响应中添加以下 HTTP 头,方便前端控制重试逻辑:
X-RateLimit-Limit:该窗口允许的最大请求数X-RateLimit-Remaining:剩余可用次数Retry-After:触发限流后需等待的秒数(仅当耗尽时返回)你还可以在 app/Exceptions/Handler.php 中捕获 ThrottleRequestsException,自定义 JSON 错误结构,比如返回 {"error": "Too many requests", "retry_after": 60}。
基本上就这些。不复杂但容易忽略的是缓存驱动的选择——生产环境务必用 Redis,file 缓存无法跨进程同步计数,会导致限流失效。
以上就是Laravel如何实现API速率限制?(Rate Limiting教程)的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
322
收藏
