我正在使用 Fortify (Laravel 8),它确实为 login
和 two-factor
提供了 RateLimiter,但没有为 forgot-password
请求。
如果没有(IP 地址)RateLimiter,一个非常简单的机器人可以执行大量外发电子邮件,基本上会导调用子邮件服务暂停,或者在使用按发送的电子邮件数量收费的 SMTP 服务时造成巨大成本。
我已经试过了:
RateLimiter::for('forgot-password', function (Request $request) {
return Limit::perMinute(1)->by($request->ip());
});
在我的 FortifyServiceProvider.php
中,但它不起作用!
routes/web.php
文件中也没有手动应用节流中间件的路由。
最佳答案
我也看过这个,后端实际上限制了太多对特定电子邮件的请求。但是,这是通过 422 Unprocessable Entity
(通常是验证错误)完成的,如下所示:
{"message":"The given data was invalid.","errors":{"email":["Please wait before retrying."]}}
我遇到了你的问题,因为我想限制 /fortify/reset-password
和 /fortify/forgot-password
(password.update/password.电子邮件)基于仅 IP。两者都需要用户的电子邮件地址,从而使攻击者能够测试现有的电子邮件地址,因为后端会很高兴地告诉您它是否存在——没有速率限制!上面提到的现有速率限制 (422
) 只会针对一封特定电子邮件的多个请求启动。因此,如果有人要枚举可能的电子邮件,这将无济于事。
我的解决方案是针对reset-password
和forgot-password
(并且是一种变通方法)。我将省略 reset-password
,因为它等同于 forgot-password
。
但是,这需要您在 web.php
中覆盖 fortify 发布的路由。不对任何供应商文件进行更改。您将必须确保在升级 fortify 之后路由注册仍然等于原来的 (https://github.com/laravel/fortify/blob/master/routes/routes.php)
- 让我们添加一个新的速率限制器 [
app/Providers/FortifyServiceProvider.php
]
这将允许每个 IP 每分钟 10 个请求
public function boot()
{
// ...
RateLimiter::for('forgot-password', function (Request $request) {
return Limit::perMinute(10)->by($request->ip());
});
}
- 将其添加到您的强化配置 [
config/fortify.php
]
'limiters' => [
// ...
'forgot-password' => 'forgot-password',
],
- 确保你的 fortify 服务提供者被调用之前你自己的路由服务提供者(这是通过官方 Laravel 文档安装时的情况)[
config/app.php
]
'providers' => [
// ...
/*
* Package Service Providers...
*/
App\Providers\FortifyServiceProvider::class,
/*
* Application Service Providers...
*/
// ...
App\Providers\RouteServiceProvider::class,
],
- 您现在可以覆盖路由并附加速率限制器 [
routes/web.php
]
use Laravel\Fortify\Http\Controllers\PasswordResetLinkController;
//...
$limiter = config('fortify.limiters.forgot-password');
// Copied from
// https://github.com/laravel/fortify/blob/c64f1e8263417179d06fd986ef8d716d4c5689e2/routes/routes.php#L55
// with addition of the throttle middleware.
// TODO: Keep this updated when updating fortify!
Route::post(config('fortify.prefix', 'fortify') . '/forgot-password', [PasswordResetLinkController::class, 'store'])
->middleware(['guest', 'throttle:' . $limiter])
->name('password.email');
来自一个 IP 的超过 10 个请求现在将从后端向客户端抛出 429 Too Many Requests
。
这样做的好处是您只需覆盖路由注册,但仍然可以使用所有强化功能,因为它使用库存 Controller 。
关于php - 如何限制 Laravel Fortify 中的忘记密码请求?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66485790/