Laravel如何实现API速率限制？（Rate Limiting教程）

Laravel API 速率限制核心是 throttle 中间件配合缓存驱动，支持按 IP、用户 ID 或自定义策略（如角色）限流，自动返回 429 状态码及 X-RateLimit-* 响应头，生产环境需用 Redis 避免 file 缓存失效。

在 Laravel 中实现 API 速率限制，核心是利用框架内置的 throttle 中间件，配合缓存驱动（如 Redis 或 file）来记录请求频次。关键在于合理配置限流策略、作用域和响应行为，而不是手动计数。

基础用法：全局或路由级限流

最简单的方式是在路由定义中直接使用 throttle:60,1，表示每分钟最多 60 次请求：

其中数字分别代表「最大请求数」和「时间窗口（分钟）」。Laravel 默认使用 IP 地址作为识别依据，同一 IP 超过阈值会返回 429 状态码。

按用户身份限流（登录用户专属）

对已认证用户启用更精准的限流，避免未登录用户挤占配额：

• 在 app/Http/Kernel.php 的 $middlewareGroups 中确认 throttle:api 已启用
• 使用 throttle:60,1,by=auth 或更明确地写成 throttle:100,1,by=id
• Laravel 会自动从当前用户模型取 id 作为 key，不同用户互不影响

自定义限流策略（按用户角色或业务逻辑）

在 App\Providers\RouteServiceProvider 的 configureRateLimiting 方法中注册策略：

标签： php laravel redis js 前端 json app ai 路由 状态码 作用域 red