3.5. 节流处理防止攻击

本教程最新版为 9.x,当前版本已放弃维护,请阅读最新版本!

1. 接口安全

验证码轰炸,是最常见的攻击方式,恶意调用 发送短信验证码 接口,给一个用户手机或多个手机号码频繁发送验证码短信,对其造成非常负面的影响,如果接口被轰炸,会导致我们的短信供应商那里的账户余额很快被耗尽。而手机注册的接口,通过不断尝试短信验证码,很容易在短信验证码未过期前,就被破解出来。

接口安全很重要,我们需要有合理的节流机制,来防止以上提到的攻击。节流机制,说到底就是对调用频率的限制,限制每个 ip 的调用次数。

2. 增加调用频率限制

DingoApi 已经为我们提供了调用频率限制的中间件 api.throttle,使用起来非常方便,修改路由

routes/api.php

.
.
.
$api->version('v1', [
    'namespace' => 'App\Http\Controllers\Api',
], function($api) {

    $api->group([
        'middleware' => 'api.throttle',
        'limit' => 1, 
        'expires' => 1,
    ], function($api) {
        // 短信验证码
        $api->post('verificationCodes', 'VerificationCodesController@store'...

本文章首发在 LearnKu.com 网站上。

为了保证课程的高品质,我们需要对课程进行收费。付费后 才能观看剩余内容。 购买

上一篇 下一篇
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
贡献者:1
讨论数量: 18

zssen
401 请求配图有错误
7 个点赞 | 2 个回复 | 分享 | 课程版本 5.5
soypablo
教程中 API 的路由采用了闭包的方式来写是否有问题?
2 个点赞 | 10 个回复 | 问答 | 课程版本 5.5
Ucer
beatles
Throttle 信息存储, 如何判断是否超过频率限制
1 个点赞 | 2 个回复 | 分享 | 课程版本 5.7
Innocence6
为什么我给 middleware 注释了还是会提示超出频率?
0 个点赞 | 8 个回复 | 问答 | 课程版本 5.5
heibai_2018
429 错误,为什么 POSTMAN 有响应,但浏览器却无响应
0 个点赞 | 7 个回复 | 问答 | 课程版本 5.5
Mengwei
调用频率次数的问题
0 个点赞 | 6 个回复 | 问答 | 课程版本 6.x
使用 dingo 的中间件 api.throttle 出现错误?
0 个点赞 | 4 个回复 | 问答 | 课程版本 5.5
黑哈尔
手机号注册以后就不能再发送验证码了
0 个点赞 | 3 个回复 | 问答 | 课程版本 5.7
bossaiguo
dingo 的报错也太奇怪了吧??
0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5
jxdr
我的 请求过多显示的是一个页面, 其它错误是显示 json
0 个点赞 | 2 个回复 | 分享 | 课程版本 8.x
yc8534016
使用限制中间件 throttle:1 后 1 分钟后访问 显示 Too Many Attempts
0 个点赞 | 2 个回复 | 问答 | 课程版本 6.x
AmberLavigne
邮箱注册如何防止大量恶意调用注册接口
0 个点赞 | 2 个回复 | 问答 | 课程版本 5.8
phpervip
增加调用频率限制之后就报错了
0 个点赞 | 1 个回复 | 问答 | 课程版本 6.x
logic
节流限制问题
0 个点赞 | 1 个回复 | 问答 | 课程版本 6.x