Laravel 9 登录速率限制失效的完整解决方案

Laravel 9 登录速率限制失效的完整解决方案

laravel 9 中使用 fortify 时,若自定义登录路由名称(如 `/login` → `/sign-in`),但未同步更新速率限制器键名与配置映射,会导致 `429 too many requests` 异常触发过早——实际仅允许 1 次尝试而非配置的每分钟 5 次。

在 Laravel 9 + Fortify 组合中,登录速率限制(Rate Limiting)默认通过 RateLimiter::for(‘login’, …) 注册,并由 Fortify 内部根据 config/fortify.php 中的 ‘limiters’ 配置自动绑定到对应路由。关键点在于:Fortify 并不硬编码使用 ‘login’ 这个字符串,而是动态读取配置项 fortify.limiters.login 的值作为限流器标识符(limiter key)。因此,一旦你修改了路由名称(例如将 /login 改为 /sign-in),却未同步更新三处关联配置,就会导致限流器“失联”——Fortify 尝试调用一个未注册或名称不匹配的限流器,最终回退到框架默认的全局限流策略(通常是极严格的 throttle:60,1),从而出现「第一次失败后立即 429」的现象。

✅ 正确修复需严格保持以下三处一致:

  1. FortifyServiceProvider::boot() 中注册的限流器键名 

    // ✅ 正确:键名必须与 config/fortify.php 中定义的 key 完全一致
RateLimiter::for('sign-in', function (Request $request) {
    $email = (string) $request->email;
    return Limit::perMinute(5)->by($email . $request->ip());
});

RateLimiter::for('account-two-factor', function (Request $request) {
    return Limit::perMinute(5)->by($request->session()->get('login.id'));
});

  2. config/fortify.php 的 limiters 数组映射

    亿众购物系统

    亿众购物系统

    一套设计完善、高效的web商城解决方案,独有SQL注入防范、对非法操作者锁定IP及记录功能,完整详细的记录了非法操作情况,管理员可以随时查看网站安全日志以及解除系统自动锁定的IP等前台简介:  1)系统为会员制购物,无限会员级别。  2)会员自动升级、相应级别所享有的折扣不同。  3)产品可在缺货时自动隐藏。  4)自动统计所有分类中商品数量,并在商品分类后面显示。  5)邮件列表功能,可在线订阅

    下载 

    // config/fortify.php
'limiters' => [
    'sign-in' => 'sign-in',           // ← 键(route identifier)→ 值(rate limiter key)
    'account-two-factor' => 'account-two-factor',
],

    ⚠️ 注意:此处 ‘sign-in’ => ‘sign-in’ 表示当 Fortify 处理 sign-in 路由时,应使用名为 ‘sign-in’ 的限流器(即 RateLimiter::for(‘sign-in’, …) 注册的那个)。

  3. 自定义路由文件(如 routes/fortify.php)中引用的配置键 

    // routes/fortify.php
use Laravel/Fortify/Fortify;

$limiter = config('fortify.limiters.sign-in'); // ✅ 匹配 config 中的 key
$twoFactorLimiter = config('fortify.limiters.account-two-factor');

// 然后在 route 定义中显式传入(若你重写了 Fortify 默认路由):
Route::post('/sign-in', [AuthenticatedSessionController::class, 'store'])
     ->middleware(['throttle:' . $limiter])
     ->name('sign-in');

? 调试建议

  • 在限流闭包中加入 error_log(“Limiter triggered for: ” . $email . $request->ip());,确认是否被真正调用;
  • 使用 php artisan tinker 执行 RateLimiter::attempt(‘sign-in’, ‘test@example.com127.0.0.1’) 测试限流器是否注册成功;
  • 检查 APP_KEY 是否已正确设置(密钥错误可能导致 session ID 不稳定,影响 by($request->session()->get(‘login.id’)) 的一致性)。

? 总结:Fortify 的限流机制高度依赖配置驱动 + 命名约定,而非魔法字符串。只要确保 RateLimiter::for() 的第一个参数、config/fortify.php 中 limiters 的键、以及路由中间件引用的配置路径三者完全一致,即可恢复预期的 5 requests/minute 行为。切勿仅修改路由名或仅修改 RateLimiter::for() 键名——必须三端联动更新。

https://www.php.cn/faq/1976198.html

发表回复

Your email address will not be published. Required fields are marked *