在configureRateLimiting()中用RateLimiter::for('api', fn($request) => Limit::perMinute(60)->by($request->user()?->id ?: $request->ip()))注册策略；API路由需显式加throttle:api中间件；限流依赖Redis等支持持久化的缓存驱动，file/array驱动会导致失效；需配置Access-Control-Expose-Headers暴露限流响应头。

RateLimiter::for() 里怎么写自定义限流策略

直接在 app/Providers/RouteServiceProvider.php 的 configureRateLimiting() 方法里注册策略，用 RateLimiter::for() 绑定一个字符串 key（比如 'api'）和闭包。闭包接收 $request，必须返回 Limit 实例。

常见错误是忘了调用 Limit::perMinute() 或拼错方法名——实际是 perMinute()、perHour()、perDay()，没有 perSecond()（底层不支持秒级原生限流）。

use Illuminate\Cache\RateLimiting\Limit;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\RateLimiter;

// 在 configureRateLimiting() 内
RateLimiter::for('api', function (Request $request) {
    return Limit::perMinute(60)->by($request->user()?->id ?: $request->ip());
});

注意：by() 的值决定“谁”共享这个配额。用 $request->user()?->id 是按登录用户限流，用 $request->ip() 是按 IP；混用时记得加空合并（?:），否则未登录用户会触发 Call to a member function id() on null 错误。

API 路由怎么应用限流中间件

Laravel 默认只对 api 中间件组启用限流，但不会自动生效——你得显式加 throttle:api。别写成 throttle:60,1 这种硬编码，否则和 RateLimiter::for('api', ...) 脱节，策略变更后容易遗漏同步。

路由定义示例：

Route::middleware(['api', 'throttle:api'])->group(function () {
    Route::get('/posts', [PostController::class, 'index']);
});

如果只想对某几个接口限流，不要给整个 group 加，而是单条路由加：

Route::get('/search', [SearchController::class, 'query'])->middleware('throttle:api');

错误做法：把 throttle:api 放在 web 中间件组里——web 默认不启用 session + cache 驱动的限流，会静默失效，且日志里几乎不报错。

为什么 throttle 中间件没生效或报 429 却没进 Redis

限流依赖缓存驱动。默认配置下，若 CACHE_DRIVER=file 或 array，限流会退化为进程内计数（每次请求都重置），看起来“完全没效果”。必须确保 CACHE_DRIVER=redis 或 memcached，并在 config/cache.php 中确认对应连接正常。

• 检查 php artisan tinker 里执行 Cache::store('redis')->put('test', 'ok', 10) 是否成功
• 确认 config/database.php 中 redis.default 的 host 和 password 正确（尤其是 Docker 环境常连 localhost 失败）
• throttle 中间件本身不抛异常，失败时只是跳过限流逻辑——所以没报错 ≠ 生效了

另一个典型现象：本地开发用 php artisan serve + file 缓存，压测时每个请求都算“新窗口”，永远拿不到 429。上线前务必切到 Redis 并验证。

如何让限流响应带 X-RateLimit-Remaining 头并支持 CORS

Laravel 默认已输出 X-RateLimit-Limit、X-RateLimit-Remaining、Retry-After 等响应头，但前端 JavaScript 发起跨域请求时，这些头默认不会暴露。需要手动在 app/Http/Middleware/TrustProxies.php 或全局中间件中添加 Access-Control-Expose-Headers。

public function handle($request, Closure $next)
{
    $response = $next($request);
    $response->headers->set('Access-Control-Expose-Headers', 'X-RateLimit-Limit,X-RateLimit-Remaining,Retry-After');
    return $response;
}

如果你用的是 fruitcake/laravel-cors 包，改 config/cors.php 的 exposed_headers 数组即可：

'exposed_headers' => [
    'X-RateLimit-Limit',
    'X-RateLimit-Remaining',
    'Retry-After',
],

漏掉这步，前端调 response.headers.get('X-RateLimit-Remaining') 会返回 null，调试时容易误判为后端没返回。

# php  # 编码  # cad  # docker  # 前端  # redis  # java  # laravel  # word  # javascript  # app