Архивы Laravel » WebMaster https://webmaster.intel63.ru/tag/laravel/ Нужна CRM на Laravel или CMS для сайта или лендинга на «WordPress» ? Настрою или создам админ-систему с учётом ваших задач Thu, 26 Feb 2026 21:49:03 +0000 ru-RU hourly 1 https://wordpress.org/?v=6.9.4 Rate Limiting в Laravel: защита вашего приложения от Brute Force атак https://webmaster.intel63.ru/blog/rate-limiting-laravel-%d0%b7%d0%b0%d1%89%d0%b8%d1%82%d0%b0-%d0%b2%d0%b0%d1%88%d0%b5%d0%b3%d0%be-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d1%8f-%d0%be%d1%82-brute-force-%d0%b0ttack/ Fri, 30 Jan 2026 04:27:40 +0000 http://wordpress/?p=262 Если верить статистике, до 80% взломов сайтов связан с использованием слабых или украденных паролей. Одним из самых распространённых методов атаки является Brute Force — автоматический перебор комбинаций логин/пароль до тех пор, пока не будет найдена правильная пара. Если ваше приложение не защищено от такого рода атак, оно становится лёгкой мишенью. Каждая попытка входа нагружает сервер, […]

Сообщение Rate Limiting в Laravel: защита вашего приложения от Brute Force атак появились сначала на WebMaster.

]]> Если верить статистике, до 80% взломов сайтов связан с использованием слабых или украденных паролей. Одним из самых распространённых методов атаки является Brute Force — автоматический перебор комбинаций логин/пароль до тех пор, пока не будет найдена правильная пара.

Если ваше приложение не защищено от такого рода атак, оно становится лёгкой мишенью. Каждая попытка входа нагружает сервер, проверяет базу данных и тратит ресурсы. А в случае успеха — компрометирует данные пользователей.

Throttle middleware в Laravel — это простой, но мощный инструмент, который позволяет ограничить количество запросов от одного источника за определённый промежуток времени. В этой статье мы изучим:

Что это делает?

Route::post('/login', [LoginController::class, 'index'])
    ->middleware('throttle:5,1');

«Разрешить максимум 5 попыток входа в течение 1 минуты с одного источника (IP-адреса)».

Как работает?

ПараметрЗначение
5Максимальное количество запросов
1Временной интервал в минутах

Поведение:

  • Пользователь пытается войти 5 раз — всё ок.
  • На 6-ю попытку (в течение той же минуты) — получает ответ 429 Too Many Requests.
  • Счётчик сбрасывается через 1 минуту.

Зачем это нужно в авторизации?

Защита от:

Brute Force — перебор паролей автоматическими скриптами.
Bot-атак — массовые попытки входа с разных паролей.
DoS — замедление сервера из-за бесконечных проверок.

Пример атаки без throttle:

Злоумышленник: 100 попыток в секунду → сервер перегружен
С throttle: 5 попыток → блокировка на 1 минуту → атака бесполезна

Где это настраивается?

Laravel 8+: В app/Http/Kernel.php уже зарегистрирован:

protected $middlewareAliases = [
    'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
];

Расширенные примеры

// 5 попыток за 1 минуту
->middleware('throttle:5,1')

// 10 попыток за 5 минут
->middleware('throttle:10,5')

// Привязка к пользователю (если авторизован)
->middleware('throttle:5,1,username')

// Кастомное сообщение об ошибке
->middleware('throttle:5,1:too-many-attempts')

Ответ при превышении лимита

HTTP 429 Too Many Requests

{
    "message": "Too many attempts. Please try again in 60 seconds."
}

Или кастомный ответ, если настроить в app/Exceptions/Handler.php.

Рекомендация для логина

Route::post('/login', [LoginController::class, 'index'])
    ->middleware('throttle:5,1'); // Защита от перебора

Это обязательная практика для любого метода авторизации в продакшене.

Сообщение Rate Limiting в Laravel: защита вашего приложения от Brute Force атак появились сначала на WebMaster.

]]>