问题描述
我正在使用 Fortify (Laravel 8),它确实为 login 和 two-factor 提供了 RateLimiter,但没有为 forgot-password 请求提供。
如果没有(IP 地址)RateLimiter,一个非常简单的机器人就可以执行大量外发电子邮件,在使用按发送电子邮件数量收费的 SMTP 服务时,基本上会导致电子邮件服务暂停或造成巨额成本。
我已经试过了:
RateLimiter::for('forgot-password',function (Request $request) {
return Limit::perMinute(1)->by($request->ip());
});
在我的 FortifyServiceProvider.PHP 中,但它不起作用!
routes/web.PHP 文件中也没有用于手动应用节流中间件的路由。
解决方法
我也看过这个,后端实际上限制了太多针对特定电子邮件的请求。但是,这是通过 422 Unprocessable Entity(通常是验证错误)完成的,如下所示:
{"message":"The given data was invalid.","errors":{"email":["Please wait before retrying."]}}
我遇到了您的问题,因为我希望根据仅 IP 限制 /fortify/reset-password 和 /fortify/forgot-password (password.update/password.email)。两者都需要用户的电子邮件地址,从而使攻击者能够测试现有的电子邮件地址,因为后端会很高兴地告诉您它是否存在——没有速率限制!上面提到的现有速率限制 (422) 仅适用于对一封特定电子邮件的多个请求。因此,如果有人要枚举可能的电子邮件,这将无济于事。
我的解决方案是针对 reset-password 和 forgot-password(而是一种解决方法)。我将省略 reset-password,因为它等于 forgot-password。
但是,这需要您在 web.php 中覆盖 Fortify 已发布的路线。不会对任何供应商文件进行任何更改。你必须保证升级后的fortify路由注册仍然等于原来的(https://github.com/laravel/fortify/blob/master/routes/routes.php)
- 让我们添加一个新的速率限制器 [
app/Providers/FortifyServiceProvider.php]
这将允许每个 IP 每分钟 10 个请求
public function boot()
{
// ...
RateLimiter::for('forgot-password',function (Request $request) {
return Limit::perMinute(10)->by($request->ip());
});
}
- 将其添加到您的强化配置 [
config/fortify.php]
'limiters' => [
// ...
'forgot-password' => 'forgot-password',],- 确保你的 fortify 服务提供者在你自己的路由服务提供者之前被调用(这是通过官方 Laravel 文档安装的情况)[
config/app.php]
'providers' => [
// ...
/*
* Package Service Providers...
*/
App\Providers\FortifyServiceProvider::class,/*
* Application Service Providers...
*/
// ...
App\Providers\RouteServiceProvider::class,- 您现在可以覆盖路由并附加速率限制器 [
routes/web.php]
use Laravel\Fortify\Http\Controllers\PasswordResetLinkController;
//...
$limiter = config('fortify.limiters.forgot-password');
// Copied from
// https://github.com/laravel/fortify/blob/c64f1e8263417179d06fd986ef8d716d4c5689e2/routes/routes.php#L55
// with addition of the throttle middleware.
// TODO: Keep this updated when updating fortify!
Route::post(config('fortify.prefix','fortify') . '/forgot-password',[PasswordResetLinkController::class,'store'])
->middleware(['guest','throttle:' . $limiter])
->name('password.email');
来自一个 IP 的超过 10 个请求现在将从您的后端向客户端抛出一个 429 Too Many Requests。
这样做的好处是您只覆盖了路由注册,但仍然可以使用所有强化功能,因为它使用了库存控制器。
,我找到了适合我的解决方案。
您可以像这样更改 fortify 的 auth.php 文件:
'passwords' => [
'users' => [
'provider' => 'users','table' => 'password_resets','expire' => 60,'throttle' => 60,'fortify' => [
'provider' => 'users','throttle' => 10,然后在 app\config\fortify.php 处更改:
'passwords' => 'users' 到 'passwords' => 'fortify'