如何在 Laravel Fortify 中限制忘记密码的请求?
How to RateLimit forgot-password requests in Laravel Fortify?
我正在使用 Fortify (Laravel 8),它确实为 login 和 two-factor 提供了 RateLimiter,但不为 forgot-password 请求提供。
没有(IP 地址)RateLimiter,一个非常简单的机器人可以执行大量外发电子邮件,基本上暂停电子邮件服务或在使用按发送电子邮件数量收费的 SMTP 服务时造成巨大成本。
我已经试过了:
RateLimiter::for('forgot-password', function (Request $request) {
return Limit::perMinute(1)->by($request->ip());
});
在我的 FortifyServiceProvider.php 中,但它不起作用!
routes/web.php文件中也没有手动应用节流中间件的路由。
我也看过这个,后端实际上限制了对特定电子邮件太多请求。但是,这是通过 422 Unprocessable Entity(通常是验证错误)完成的,如下所示:
{"message":"The given data was invalid.","errors":{"email":["Please wait before retrying."]}}
我遇到了你的问题,因为我希望仅基于 IP 来限制 /fortify/reset-password 和 /fortify/forgot-password(密码。update/password.email) 。两者都需要用户的电子邮件地址,从而使攻击者能够测试现有的电子邮件地址,因为后端会很高兴地告诉您它是否存在——没有速率限制!上面提到的现有速率限制 (422) 只会对一封特定电子邮件的多个请求生效。因此,如果有人要枚举可能的电子邮件,这将无济于事。
我的解决方案适用于 reset-password 和 forgot-password(而是一种解决方法)。我将省略 reset-password,因为它等于 forgot-password。
但是,这需要您在 web.php 中覆盖 fortify 的已发布路由。不对任何供应商文件进行更改。您将必须确保升级 fortify 后路由注册仍然等于原始 (https://github.com/laravel/fortify/blob/master/routes/routes.php)
- 让我们添加一个新的速率限制器 [
app/Providers/FortifyServiceProvider.php]
这将允许每个 IP 每分钟 10 个请求
public function boot()
{
// ...
RateLimiter::for('forgot-password', function (Request $request) {
return Limit::perMinute(10)->by($request->ip());
});
}
- 将其添加到您的强化配置中 [
config/fortify.php]
'limiters' => [
// ...
'forgot-password' => 'forgot-password',
],
- 确保在您自己的路由服务提供商之前调用您的强化服务提供商(这是通过官方Laravel文档安装时的情况)[
config/app.php]
'providers' => [
// ...
/*
* Package Service Providers...
*/
App\Providers\FortifyServiceProvider::class,
/*
* Application Service Providers...
*/
// ...
App\Providers\RouteServiceProvider::class,
],
- 您现在可以覆盖路由并附加速率限制器 [
routes/web.php]
use Laravel\Fortify\Http\Controllers\PasswordResetLinkController;
//...
$limiter = config('fortify.limiters.forgot-password');
// Copied from
// https://github.com/laravel/fortify/blob/c64f1e8263417179d06fd986ef8d716d4c5689e2/routes/routes.php#L55
// with addition of the throttle middleware.
// TODO: Keep this updated when updating fortify!
Route::post(config('fortify.prefix', 'fortify') . '/forgot-password', [PasswordResetLinkController::class, 'store'])
->middleware(['guest', 'throttle:' . $limiter])
->name('password.email');
来自一个 IP 的超过 10 个请求现在会从您的后端向客户端抛出 429 Too Many Requests。
这样做的好处是您只覆盖路由注册,但仍然可以使用所有强化功能,因为它使用库存控制器。
我找到了适合我的解决方案。
您可以像这样更改 fortify 的 auth.php 文件:
'passwords' => [
'users' => [
'provider' => 'users',
'table' => 'password_resets',
'expire' => 60,
'throttle' => 60,
],
'fortify' => [
'provider' => 'users',
'table' => 'password_resets',
'expire' => 60,
'throttle' => 10,
],
],
然后在 app\config\fortify.php 中更改:
'passwords' => 'users' 到 'passwords' => 'fortify'
我正在使用 Fortify (Laravel 8),它确实为 login 和 two-factor 提供了 RateLimiter,但不为 forgot-password 请求提供。
没有(IP 地址)RateLimiter,一个非常简单的机器人可以执行大量外发电子邮件,基本上暂停电子邮件服务或在使用按发送电子邮件数量收费的 SMTP 服务时造成巨大成本。
我已经试过了:
RateLimiter::for('forgot-password', function (Request $request) {
return Limit::perMinute(1)->by($request->ip());
});
在我的 FortifyServiceProvider.php 中,但它不起作用!
routes/web.php文件中也没有手动应用节流中间件的路由。
我也看过这个,后端实际上限制了对特定电子邮件太多请求。但是,这是通过 422 Unprocessable Entity(通常是验证错误)完成的,如下所示:
{"message":"The given data was invalid.","errors":{"email":["Please wait before retrying."]}}
我遇到了你的问题,因为我希望仅基于 IP 来限制 /fortify/reset-password 和 /fortify/forgot-password(密码。update/password.email) 。两者都需要用户的电子邮件地址,从而使攻击者能够测试现有的电子邮件地址,因为后端会很高兴地告诉您它是否存在——没有速率限制!上面提到的现有速率限制 (422) 只会对一封特定电子邮件的多个请求生效。因此,如果有人要枚举可能的电子邮件,这将无济于事。
我的解决方案适用于 reset-password 和 forgot-password(而是一种解决方法)。我将省略 reset-password,因为它等于 forgot-password。
但是,这需要您在 web.php 中覆盖 fortify 的已发布路由。不对任何供应商文件进行更改。您将必须确保升级 fortify 后路由注册仍然等于原始 (https://github.com/laravel/fortify/blob/master/routes/routes.php)
- 让我们添加一个新的速率限制器 [
app/Providers/FortifyServiceProvider.php]
这将允许每个 IP 每分钟 10 个请求
public function boot()
{
// ...
RateLimiter::for('forgot-password', function (Request $request) {
return Limit::perMinute(10)->by($request->ip());
});
}
- 将其添加到您的强化配置中 [
config/fortify.php]
'limiters' => [
// ...
'forgot-password' => 'forgot-password',
],
- 确保在您自己的路由服务提供商之前调用您的强化服务提供商(这是通过官方Laravel文档安装时的情况)[
config/app.php]
'providers' => [
// ...
/*
* Package Service Providers...
*/
App\Providers\FortifyServiceProvider::class,
/*
* Application Service Providers...
*/
// ...
App\Providers\RouteServiceProvider::class,
],
- 您现在可以覆盖路由并附加速率限制器 [
routes/web.php]
use Laravel\Fortify\Http\Controllers\PasswordResetLinkController;
//...
$limiter = config('fortify.limiters.forgot-password');
// Copied from
// https://github.com/laravel/fortify/blob/c64f1e8263417179d06fd986ef8d716d4c5689e2/routes/routes.php#L55
// with addition of the throttle middleware.
// TODO: Keep this updated when updating fortify!
Route::post(config('fortify.prefix', 'fortify') . '/forgot-password', [PasswordResetLinkController::class, 'store'])
->middleware(['guest', 'throttle:' . $limiter])
->name('password.email');
来自一个 IP 的超过 10 个请求现在会从您的后端向客户端抛出 429 Too Many Requests。
这样做的好处是您只覆盖路由注册,但仍然可以使用所有强化功能,因为它使用库存控制器。
我找到了适合我的解决方案。
您可以像这样更改 fortify 的 auth.php 文件:
'passwords' => [
'users' => [
'provider' => 'users',
'table' => 'password_resets',
'expire' => 60,
'throttle' => 60,
],
'fortify' => [
'provider' => 'users',
'table' => 'password_resets',
'expire' => 60,
'throttle' => 10,
],
],
然后在 app\config\fortify.php 中更改:
'passwords' => 'users' 到 'passwords' => 'fortify'