如何在Laravel中RateLimit忘记密码请求？

Question

我使用的是Fortify (Laravel 8)，它确实为login和two-factor提供了login，但没有为forgot-password请求提供。

如果没有一个(IP地址) RateLimiter，一个非常简单的机器人就可以执行大量的发送电子邮件，基本上可以暂停电子邮件服务，或者在使用每发送一批电子邮件收费的SMTP服务时造成巨大成本。

我已经试过了：

RateLimiter::for('forgot-password', function (Request $request) {
   return Limit::perMinute(1)->by($request->ip());
});

在我的FortifyServiceProvider.php里，但是它不起作用！

routes/web.php文件中也没有手动应用节流中间件的路径。

Answer 1

我也看过这一点，而且后端实际上限制了太多的请求，需要特定的电子邮件。但是，这是通过422 Unprocessable Entity (通常是验证错误)完成的，如下所示：

{"message":"The given data was invalid.","errors":{"email":["Please wait before retrying."]}}

我遇到了你的问题，因为我想要节流/fortify/reset-password和/fortify/forgot-password (password.update/password.email)基于、IP。两者都需要用户的电子邮件地址，从而使攻击者能够测试现有的电子邮件地址，因为后端将高兴地告诉您它是否存在-没有速率限制！以上提到的现有费率限制(422)只适用于对一封特定电子邮件的多个请求。因此，如果有人列举可能的电子邮件，这将于事无补。

我的解决方案是reset-password和forgot-password (更确切地说是一个解决方案)。我将省略reset-password，因为它等于forgot-password。

但是，这要求您在web.php中覆盖fortify的发布路径。不对任何供应商文件进行更改。您必须确保在升级之后，加强路由注册仍然与原来的(https://github.com/laravel/fortify/blob/master/routes/routes.php)相等。

让我们添加一个新的速率限制器app/Providers/FortifyServiceProvider.php

这将允许每个IP每分钟10次请求。

public function boot()
    {
        // ...
        RateLimiter::for('forgot-password', function (Request $request) {
            return Limit::perMinute(10)->by($request->ip());
        });
    }

将它添加到您的fortify配置config/fortify.php中。

 'limiters' => [
        // ...
        'forgot-password' => 'forgot-password',
    ],

确保您的增强服务提供者在您自己的路由服务提供商(通过官方的Laravel安装时是这样的) config/app.php之前被称为

'providers' => [

        // ...
        /*
         * Package Service Providers...
         */
        App\Providers\FortifyServiceProvider::class,


        /*
         * Application Service Providers...
         */

        // ...
        App\Providers\RouteServiceProvider::class,

    ],

现在您可以覆盖路由并附加速率限制器routes/web.php。

use Laravel\Fortify\Http\Controllers\PasswordResetLinkController;

//...

$limiter = config('fortify.limiters.forgot-password');
// Copied from
// https://github.com/laravel/fortify/blob/c64f1e8263417179d06fd986ef8d716d4c5689e2/routes/routes.php#L55
// with addition of the throttle middleware.
// TODO: Keep this updated when updating fortify!
Route::post(config('fortify.prefix', 'fortify') . '/forgot-password', [PasswordResetLinkController::class, 'store'])
    ->middleware(['guest', 'throttle:' . $limiter])
    ->name('password.email');

来自一个IP的10多个请求现在将从后端向客户端抛出一个429 Too Many Requests。

这方面的好处是，您只覆盖路由注册，但仍然可以使用所有的增强功能，因为它使用的股票控制器。

Answer 2

我找到了一个对我有用的解决方案。

您可以像这样更改fortify的auth.php文件：

'passwords' => [
  'users' => [
    'provider' => 'users',
    'table' => 'password_resets',
    'expire' => 60,
    'throttle' => 60,
  ],
  'fortify' => [
    'provider' => 'users',
    'table' => 'password_resets',
    'expire' => 60,
    'throttle' => 10,
  ],
],

然后在app\config\fortify.php中改变：

'passwords' => 'users'到'passwords' => 'fortify'