laravel API 速率限制核心是 throttle 中间件配合缓存驱动,支持按 IP、用户 ID 或自定义策略(如角色)限流,自动返回 429 状态码及 X-RateLimit-* 响应头,生产环境需用 redis 避免 file 缓存失效。
在 Laravel 中实现 API 速率限制,核心是利用框架内置的 throttle 中间件,配合缓存驱动(如 redis 或 file)来记录请求频次。关键在于合理配置限流策略、作用域和响应行为,而不是手动计数。
基础用法:全局或路由级限流
最简单的方式是在路由定义中直接使用 throttle:60,1,表示每分钟最多 60 次请求:
Route::middleware(‘throttle:60,1’)->group(function () {
Route::get(‘/api/posts’, [PostController::class, ‘index’]);
});
其中数字分别代表「最大请求数」和「时间窗口(分钟)」。Laravel 默认使用 IP 地址作为识别依据,同一 IP 超过阈值会返回 429 状态码。
按用户身份限流(登录用户专属)
对已认证用户启用更精准的限流,避免未登录用户挤占配额:
- 在
app/http/Kernel.php的$middlewareGroups中确认throttle:api已启用 - 使用
throttle:60,1,by=auth或更明确地写成throttle:100,1,by=id - Laravel 会自动从当前用户模型取
id作为 key,不同用户互不影响
自定义限流策略(按用户角色或业务逻辑)
在 AppProvidersRouteServiceProvider 的 configureRateLimiting 方法中注册策略:
RateLimiter::for(‘premium_api’, function (Request $request) {
return $request->user() && $request->user()->is_premium
? Limit::perMinute(500)->by($request->user()->id)
: Limit::perMinute(60)->by($request->ip());
});
然后在路由中调用:middleware('throttle:premium_api')。这样免费用户走 60 次/分钟,付费用户提升到 500 次/分钟。
响应头与前端友好提示
Laravel 自动在响应中添加以下 HTTP 头,方便前端控制重试逻辑:
-
X-RateLimit-Limit:该窗口允许的最大请求数 -
X-RateLimit-Remaining:剩余可用次数 -
Retry-After:触发限流后需等待的秒数(仅当耗尽时返回)
你还可以在 app/Exceptions/Handler.php 中捕获 ThrottleRequestsException,自定义 jsON 错误结构,比如返回 {"Error": "Too many requests", "retry_after": 60}。
基本上就这些。不复杂但容易忽略的是缓存驱动的选择——生产环境务必用 Redis,file 缓存无法跨进程同步计数,会导致限流失效。
以上就是Laravel如何实现API速率限制?(Rate Limiting教程)的详细内容,更多请关注php中文网其它相关文章!