laravel通过内置throttle中间件和令牌桶算法实现api限流,支持按用户id、ip或自定义标识控制请求频率;可在路由中直接配置基础规则,如每分钟60次,也可在routeserviceprovider中使用ratelimiter定义命名策略,实现差异化限流(如vip用户更高配额);默认基于缓存记录请求次数,推荐高并发场景使用redis驱动以保证一致性,并可通过调整缓存存储与过期时间优化性能,有效防止接口滥用。
Laravel 提供了简单而强大的机制来限制 API 请求频率,防止接口被恶意刷量或滥用。通过内置的限流中间件,开发者可以轻松配置每个用户或 IP 在指定时间内允许发起的请求数量。
API 限流的基本原理
Laravel 使用令牌桶算法结合缓存系统实现请求频率控制。每次请求到达时,系统会检查当前用户或标识在特定窗口时间内已发起的请求数,若超过设定阈值则返回 429 Too Many Requests 响应。
限流规则可基于:
- 用户 ID(适用于已认证用户)
- IP 地址(适用于未登录场景)
- API Token 或其他自定义标识
使用内置限流中间件
Laravel 自带 throttle 中间件,可在路由中直接调用。基本语法为 throttle:最大请求数,分钟数。
示例:限制每个 IP 每分钟最多 60 次请求
Route::middleware('throttle:60,1')->group(function () {Route::get('/api/data', [DataController::class, 'index']);
});
也可设置更长时间窗口,如每小时 1000 次:
Route::middleware('throttle:1000,60')->apiResource('/items', ItemController::class);基于用户身份的差异化限流
对于已登录用户,可根据角色或权限设置不同限流策略。Laravel 支持在中间件中传入闭包来自定义逻辑。
例如:普通用户每分钟 10 次,VIP 用户每分钟 100 次
Route::middleware(function ($request, $next) {$maxAttempts = $request->user()?->is_vip ? 100 : 10;
return \Illuminate\Routing\Middleware\ThrottleRequests::class . ":{$maxAttempts},1";
})->group([...]);
更推荐的方式是定义命名限流策略。在 App\Providers\RouteServiceProvider 的 configureRateLimiting() 方法中注册:
RateLimiter::for('api', function (Request $request) {if ($request->user()?->is_vip) {
return Limit::perMinute(100);
}
return Limit::perMinute(10)->by($request->ip());
});
然后在路由中使用:
Route::middleware(['throttle:api'])->get('/api/data', [...]);缓存驱动与性能优化
限流依赖缓存系统记录请求次数,默认使用应用配置的缓存驱动(如 file、redis、memcached)。高并发场景建议使用 Redis,确保跨进程一致性。
可在 config/cache.php 中设置默认驱动为 redis,并保证连接稳定。
若需为限流单独配置缓存存储,可在 RateLimiter::for() 中指定:
Limit::perMinute(100)->by($request->user()?->id)->cache('redis');注意:频繁的限流检查可能增加缓存压力,合理设置过期时间与监控缓存命中率有助于系统稳定。
基本上就这些。Laravel 的限流机制灵活且易于扩展,结合实际业务需求配置即可有效保护 API 接口。
