laravel 9 中使用 fortify 时,若重命名了登录或两步验证路由(如 `/login` → `/sign-in`),但未同步更新速率限制器名称与配置键,会导致 `429 too many requests` 异常触发过早——实际仅允许 1 次请求即限流。
在 Laravel 9 + Fortify 组合中,速率限制并非硬编码于中间件或控制器内,而是通过 命名约定 + 配置映射 实现解耦。核心机制如下:Fortify 的认证逻辑(如 LoginRequest 处理)会根据 config/fortify.php 中 limiters 数组的键(如 'login'),动态调用同名的 Rate Limiter 定义(即 RateLimiter::for('login', ...))。一旦你修改了路由路径(例如将 /login 改为 /sign-in),但未同步更新所有关联的“名称标识”,就会导致限流器无法正确匹配和应用,进而因默认 fallback 或空配置引发激进限流(表现为首次失败后立即 429)。
✅ 正确修复步骤(三处必须同步)
1. 更新 FortifyServiceProvider::boot() 中的限流器注册名
确保 RateLimiter::for() 的第一个参数与你实际使用的逻辑名称一致(推荐与新路由语义对齐):
// app/Providers/FortifyServiceProvider.php
public function boot()
{
// ... 其他 Fortify 配置
RateLimiter::for('sign-in', function (Request $request) {
$email = (string) $request->email;
return Limit::perMinute(5)->by($email . $request->ip());
});
RateLimiter::for('account-two-factor', function (Request $request) {
return Limit::perMinute(5)->by($request->session()->get('login.id'));
});
}⚠️ 注意:此处 'sign-in' 和 'account-two-factor' 是自定义名称,后续所有配置必须严格一致,大小写与连字符均不可错。
2. 同步更新 config/fortify.php 的 limiters 映射
该数组将 Fortify 内部动作(如登录、两步验证)映射到你定义的限流器名称:
// config/fortify.php
'limiters' => [
'login' => 'sign-in', // ← 原来是 'login',现在指向你注册的 'sign-in'
'two-factor' => 'account-two-factor', // ← 原来是 'two-factor',现指向 'account-two-factor'
],✅ 关键点:'login' => 'sign-in' 表示 “当 Fortify 执行登录流程时,请使用名为 'sign-in' 的限流器”,而非自己再定义一个叫 'login' 的限流器。
3. 若使用自定义 Fortify 路由文件(如 routes/fortify
如果你覆盖了默认路由并手动绑定了限流器(常见于高级定制),请确认其引用的配置键与上一步一致:
// routes/fortify.php
$limiter = config('fortify.limiters.login'); // ✅ 此时返回 'sign-in'
$twoFactorLimiter = config('fortify.limiters.two-factor'); // ✅ 此时返回 'account-two-factor'
// 然后在 Route::post(...) 中使用 $limiter 作为 middleware
Route::post('/sign-in', [AuthenticatedSessionController::class, 'store'])
->middleware(['throttle:' . $limiter])
->name('sign-in');? 验证与调试建议
- 使用 php artisan tinker 快速检查配置是否生效:
>>> config('fortify.limiters.login') => "sign-in" >>> \Illuminate\Support\Facades\RateLimiter::attempts('sign-in', 'test@example.com127.0.0.1') => 0 // 初始为 0,多次调用后递增 - 在限流回调中加入日志(如 error_log("Rate key: " . $email.$request->ip());),确认生成的限流 Key 是否符合预期(避免空邮箱/IP 导致全站共用同一 Key)。
- 清除配置缓存:php artisan config:clear(开发环境也建议执行,避免旧配置残留)。
? 总结
Fortify 的速率限制高度依赖名称一致性:RateLimiter::for('X') 定义的名称、config/fortify.php 中 limiters 的值、以及路由层实际引用的键,三者必须完全一致。默认配置能“开箱即用”,是因为 Laravel 内置逻辑与默认名称('login' / 'two-factor')严丝合缝;一旦自定义路由,就必须主动完成这三处联动更新。切勿只改路由路径或只改限流器名——缺失任一环,都将导致限流失效或过度拦截。
