首頁(yè) 猿問(wèn) 如何防止對(duì)我的...

如何防止對(duì)我的 Laravel/Lumen api 的自動(dòng)請(qǐng)求？

PHP

白豬掌柜的 2023-11-04 20:50:21

所以，我打算將我的后端與前端完全分離。我正在學(xué)習(xí) Laravel/Lumen API，我打算以 JSON 格式返回?cái)?shù)據(jù)庫(kù)數(shù)據(jù)以供前端開(kāi)發(fā)人員使用。我在 Stack Overflow 上讀過(guò)幾個(gè)類(lèi)似的帖子，并觀看了一些 YouTube 視頻。他們中的大多數(shù)人建議我應(yīng)該為“授權(quán)”用戶(hù)生成一個(gè)令牌。然而問(wèn)題是我的項(xiàng)目沒(méi)有登錄系統(tǒng)。我的所有用戶(hù)都是訪(fǎng)客用戶(hù)。因此，我不能先授權(quán)一個(gè)人，然后為他們生成令牌。據(jù)我了解（可能有缺陷），Laravel API 遵循 RESTful 系統(tǒng)。因此，它是無(wú)狀態(tài)的，我無(wú)法使用 CSRF 令牌來(lái)檢查請(qǐng)求是否來(lái)自提交的表單，并且它不是自動(dòng)化的。那么，我還有什么其他選擇呢？我想要將自動(dòng)請(qǐng)求與來(lái)自表單的請(qǐng)求分開(kāi)的原因是，有時(shí)我必須對(duì)某些請(qǐng)求進(jìn)行繁重的處理，并且我不希望自動(dòng)腳本發(fā)送大量請(qǐng)求并導(dǎo)致 DOS 攻擊。任何幫助表示贊賞。

查看完整描述

1 回答

白板的微信

TA貢獻(xiàn)1883條經(jīng)驗(yàn) 獲得超3個(gè)贊

速率限制可以幫助防止自動(dòng)腳本。Laravel 默認(rèn)通過(guò) Throttle 中間件實(shí)現(xiàn)此功能。默認(rèn)油門(mén)比例為 60:1，throttle:60,1如果 1 分鐘內(nèi)記錄了 60 次嘗試，則轉(zhuǎn)換為油門(mén)。

該中間件適用于所有路由，但是，您可以針對(duì)各個(gè)路由覆蓋此中間件并定義嘗試次數(shù)和時(shí)間的自定義值。以下示例改編自文檔，如果 1 分鐘內(nèi)有 30 次嘗試，則配置限制路由：

Route::middleware('auth:api', 'throttle:30,1')->group(function () {

Route::get('/user', function () {

//

});

還有其他配置選項(xiàng)，請(qǐng)參閱文檔以獲取更多信息。

https://laravel.com/docs/7.x/routing#rate-limiting

Laravel 如何檢查訪(fǎng)客用戶(hù)是否發(fā)送了太多請(qǐng)求？

用非?；镜男g(shù)語(yǔ)來(lái)說(shuō)，Laravel 通過(guò)應(yīng)用程序緩存中的特定 IP 來(lái)跟蹤特定端點(diǎn)/域的命中。請(qǐng)求域和IP用作緩存鍵。每次命中端點(diǎn)時(shí)，存儲(chǔ)在緩存中的嘗試次數(shù)都會(huì)增加。如果在路由應(yīng)用的配置中指定的時(shí)間窗口內(nèi)嘗試次數(shù)達(dá)到允許嘗試的最大次數(shù)throttle，則該 IP 將被鎖定一段時(shí)間。

如果時(shí)間窗口內(nèi)沒(méi)有新的點(diǎn)擊，嘗試將自動(dòng)清除。

反對(duì) 回復(fù) 2023-11-04