3.5. 节流处理防止攻击

5.8

9.x 8.x 7.x 6.x 5.8 5.7 5.5

L03 Laravel 教程 - 实战构架 API 服务器 ( Laravel 5.8) /

本教程最新版为 9.x，当前版本已放弃维护，请阅读最新版本！

1. 接口安全

验证码轰炸，是最常见的攻击方式，恶意调用 发送短信验证码 接口，给一个用户手机或多个手机号码频繁发送验证码短信，对其造成非常负面的影响，如果接口被轰炸，会导致我们的短信供应商那里的账户余额很快被耗尽。而手机注册的接口，通过不断尝试短信验证码，很容易在短信验证码未过期前，就被破解出来。

接口安全很重要，我们需要有合理的节流机制，来防止以上提到的攻击。节流机制，说到底就是对调用频率的限制，限制每个 ip 的调用次数。

2. 增加调用频率限制

DingoApi 已经为我们提供了调用频率限制的中间件 api.throttle，使用起来非常方便，修改路由

routes/api.php

.
.
.
$api->version('v1', [
    'namespace' => 'App\Http\Controllers\Api',
], function($api) {

    $api->group([
        'middleware' => 'api.throttle',
        'limit' => 1, 
        'expires' => 1,
    ], function($api) {
        // 短信验证码
        $api->post('verificationCodes', 'VerificationCodesController@store'...

本文章首发在 LearnKu.com 网站上。