在configureRateLimiting()中用RateLimiter::for('api', fn($request) => Limit::perMinute(60)->by($request->user()?->id ?: $request->ip()))注册策略;API路由需显式加throttle:api中间件;限流依赖Redis等支持持久化的缓存驱动,file/array驱动会导致失效;需配置Access-Control-Expose-Headers暴露限流响应头。
RateLimiter::for() 里怎么写自定义限流策略
直接在 app/Providers/RouteServiceProvider.php 的 configureRateLimiting() 方法里注册策略,用 RateLimiter::for() 绑定一个字符串 key(比如 'api')和闭包。闭包接收 $request,必须返回 Limit 实例。
常见错误是忘了调用 Limit::perMinute() 或拼错方法名——实际是 perMinute()、perHour()、perDay(),没有 perSecond()(底层不支持秒级原生限流)。
use Illuminate\Cache\RateLimiting\Limit;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\RateLimiter;
// 在 configureRateLimiting() 内
RateLimiter::for('api', function (Request $request) {
return Limit::perMinute(60)->by($request->user()?->id ?: $request->ip());
});
注意:by() 的值决定“谁”共享这个配额。用 $request->user()?->id 是按登录用户限流,用 $request->ip() 是按 IP;混用时记得加空合并(?:),否则未登录用户会触发 Call to a member function id() on null 错误。
API 路由怎么应用限流中间件
Laravel 默认只对 api 中间件组启用限流,但不会自动生效——你得显式加 throttle:api。别写成 throttle:60,1 这种硬编码,否则和 RateLimiter::for('api', ...) 脱节,策略变更后容易遗漏同步。
路由定义示例:
Route::middleware(['api', 'throttle:api'])->group(function () {
Route::get('/posts', [PostController::class, 'index']);
});
如果只想对某几个接口限流,不要给整个 group 加,而是单条路由加:
Route::get('/search', [SearchController::class, 'query'])->middleware('throttle:api');
错误做法:把 throttle:api 放在 web 中间件组里——web 默认不启用 session + cache 驱动的限流,会静默失效,且日志里几乎不报错。
为什么 throttle 中间件没生效或报 429 却没进 Redis
限流依赖缓存驱动。默认配置下,若 CACHE_DRIVER=file 或 array,限流会退化为进程内计数(每次请求都重置),看起来“完全没效果”。必须确保 CACHE_DRIVER=redis 或 memcached,并在 config/cache.php 中确认对应连接正常。
- 检查
php artisan tinker里执行Cache::store('redis')->put('test', 'ok', 10)是否成功 - 确认
config/database.php中redis.default的host和password正确(尤其是 Docker 环境常连 localhost 失败) -
throttle中间件本身不抛异常,失败时只是跳过限流逻辑——所以没报错 ≠ 生效了
另一个典型现象:本地开发用 php artisan serve + file 缓存,压测时每个请求都算“新窗口”,永远拿不到 429。上线前务必切到 Redis 并验证。
如何让限流响应带 X-RateLimit-Remaining 头并支持 CORS
Laravel 默认已输出 X-RateLimit-Limit、X-RateLimit-Remaining、Retry-After 等响应头,但前端 JavaScript 发起跨域请求时,这些头默认不会暴露。需要手动在 app/Http/Middleware/TrustProxies.php 或全局中间件中添加 Access-Control-Expose-Headers。
public function handle($request, Closure $next)
{
$response = $next($request);
$response->headers->set('Access-Control-Expose-Headers', 'X-RateLimit-Limit,X-RateLimit-Remaining,Retry-After');
return $response;
}
如果你用的是 fruitcake/laravel-cors 包,改 config/cors.php 的 exposed_headers 数组即可:
'exposed_headers' => [
'X-RateLimit-Limit',
'X-RateLimit-Remaining',
'Retry-After',
],
漏掉这步,前端调 response.headers.get('X-RateLimit-Remaining') 会返回 null,调试时容易误判为后端没返回。
