Laravel API 速率限制核心是 throttle 中间件配合缓存驱动，支持按 IP、用户 ID 或自定义策略（如角色）限流，自动返回 429 状态码及 X-RateLimit-* 响应头，生产环境需用 Redis 避免 file 缓存失效。

在 Laravel 中实现 API 速率限制，核心是利用框架内置的 throttle 中间件，配合缓存驱动（如 Redis 或 file）来记录请求频次。关键在于合理配置限流策略、作用域和响应行为，而不是手动计数。

基础用法：全局或路由级限流

最简单的方式是在路由定义中直接使用 throttle:60,1，表示每分钟最多 60 次请求：

其中数字分别代表「最大请求数」和「时间窗口（分钟）」。Laravel 默认使用 IP 地址作为识别依据，同一 IP 超过阈值会返回 429 状态码。

按用户身份限流（登录用户专属）

对已认证用户启用更精准的限流，避免未登录用户挤占配额：

• 在 app/Http/Kernel.php 的 $middlewareGroups 中确认 throttle:api 已启用
• 使用 throttle:60,1,by=auth 或更明确地写成 throttle:100,1,by=id
• Laravel 会自动从当前用户模型取 id 作为 key，不同用户互不影响

自定义限流策略（按用户角色或业务逻辑）

在 App\Providers\RouteServiceProvider 的 configureRateLimiting 方法中注册策略：

然后在路由中调用：middleware('throttle:premium_api')。这样免费用户走 60 次/分钟，付费用户提升到 500 次/分钟。

响应头与前端友好提示

Laravel 自动在响应中添加以下 HTTP 头，方便前端控制重试逻辑：

• X-RateLimit-Limit：该窗口允许的最大请求数
• X-RateLimit-Remaining：剩余可用次数
• Retry-After：触发限流后需等待的秒数（仅当耗尽时返回）

你还可以在 app/Exceptions/Handler.php 中捕获 ThrottleRequestsException，自定义 JSON 错误结构，比如返回 {"error": "Too many requests", "retry_after": 60}。

基本上就这些。不复杂但容易忽略的是缓存驱动的选择——生产环境务必用 Redis，file 缓存无法跨进程同步计数，会导致限流失效。