Limitare il traffico delle API in Laravel<\/h2>\n
Il rate limiting \u00e8 un meccanismo progettato per mitigare lo sfruttamento delle risorse di un’applicazione. Sebbene abbia molti usi, \u00e8 particolarmente utile per le API pubbliche in sistemi scalabili di grandi dimensioni. Garantisce a tutti gli utenti legittimi un accesso equo alle risorse del sistema.<\/p>\n
Il rate limiting \u00e8 fondamentale anche per la sicurezza, il controllo dei costi e la stabilit\u00e0 generale del sistema. Pu\u00f2 aiutare a prevenire gli attacchi basati sulle richieste, come gli attacchi DDoS (distributed denial-of-service). Questo attacco si basa sull’invio di richieste ripetute per sovraccaricare e interrompere l’accesso al server di un’applicazione o di un sito web.<\/p>\n
Esistono diversi metodi per implementare il rate limiting. Si possono utilizzare delle variabili che caratterizzano il richiedente per determinare chi pu\u00f2 accedere a un’applicazione e con quale frequenza. Alcune variabili comuni sono:<\/p>\n
- \n
- Indirizzo IP<\/strong> – L’implementazione di rate limiting basati sugli indirizzi IP permette di limitare il numero di richieste per indirizzo. Questo metodo \u00e8 particolarmente vantaggioso nei casi in cui gli utenti possono accedere all’applicazione senza fornire le credenziali.<\/li>\n
- Chiave API<\/strong> – Limitare l’accesso tramite chiavi API significa fornire al richiedente delle chiavi API pre-generate e stabilire dei rate limiting per ogni chiave. Con questo approccio, si possono anche applicare diversi livelli di accesso alle chiavi API generate.<\/li>\n
- ID cliente<\/strong> – Si pu\u00f2 anche pre-generare un ID cliente che l’utente pu\u00f2 inserire nell’intestazione o nel corpo delle richieste API. Questo metodo permette di impostare livelli di accesso per ID per garantire che nessun client possa monopolizzare le risorse del sistema.<\/li>\n<\/ul>\n
Middleware di Laravel<\/h3>\n
Il middleware fornisce un comodo meccanismo per ispezionare e filtrare le richieste HTTP<\/a> che entrano in un’applicazione. In sostanza, si tratta di uno strato di codice tra l’applicazione e l’infrastruttura sottostante per consentire la comunicazione tra le risorse.<\/p>\n
Come implementare i rate limiting<\/h2>\n
Questo tutorial utilizza una mini libreria API esistente sul framework Laravel 10 per dimostrare l’uso di Laravel Throttle. Il progetto di partenza contiene le implementazioni di base per la creazione, la lettura, l’aggiornamento e la cancellazione (CRUD) necessarie per gestire i libri in una raccolta e due percorsi extra per dimostrare alcuni concetti di rate limiting.<\/p>\n
Prerequisiti<\/h3>\n
Il tutorial presuppone che si conoscano le basi dello sviluppo di API in Laravel. Assicuratevi di avere i seguenti elementi:<\/p>\n
- \n
- PHP 8.2, Composer<\/a> e Laravel<\/a> installati e configurati sul computer locale<\/li>\n
- Un account Kinsta<\/a> attivo<\/li>\n
- Un account su GitHub<\/a>, GitLab<\/a> o Bitbucket<\/a> per eseguire il push del tuo codice<\/li>\n<\/ul>\n
Utilizzeremo anche MyKinsta<\/a> per configurare e distribuire questa API. Potete anche seguire il template di progetto<\/a> fornito e vedere l’anteprima del risultato finale dal codice sorgente completo<\/a>.<\/p>\n
Configurazione dell’applicazione Laravel<\/h2>\n
- \n
- Per iniziare, cloniamo il template di progetto<\/a>.<\/li>\n
- Quindi, creiamo un file .env<\/strong> nella directory principale del progetto e copiamo il contenuto di .env.example<\/strong> al suo interno.<\/li>\n
- Successivamente, completiamo la configurazione utilizzando i seguenti comandi per installare le dipendenze dell’applicazione e generare la chiave dell’applicazione.<\/li>\n<\/ol>\n
composer install\nphp artisan key:generate<\/code><\/pre>\nSe questo comando non aggiunge automaticamente la chiave dell’applicazione al file .env<\/strong>, eseguite
php artisan key:generate --show<\/code>, copiate la chiave generata e incollatela nel file .env<\/strong> come valore perAPP_KEY<\/code>.<\/p>\n- \n
- Una volta completata l’installazione delle dipendenze e la generazione della chiave dell’applicazione, avviamo l’applicazione con il seguente comando:<\/li>\n<\/ol>\n
php artisan serve<\/code><\/pre>\nQuesto comando avvia l’applicazione e la rende accessibile tramite il browser all’indirizzo
https:\/\/127.0.0.1:8000<\/code>.<\/p>\n- \n
- Visitiamo l’URL per verificare che la pagina di benvenuto di Laravel venga visualizzata:<\/li>\n<\/ol>\n
\n ![\"La](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-welcome-page.png\")
La schermata di benvenuto di Laravel<\/figcaption><\/figure><\/figure>\n Configurazioni del database<\/h2>\n
Configuriamo e impostiamo il database dell’applicazione in MyKinsta<\/a>.<\/p>\n
- \n
- Accediamo alla dashboard dell’account MyKinsta e clicchiamo sul pulsante Aggiungi servizio<\/strong>:<\/li>\n<\/ol>\n
\n ![\"Il](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-mykinsta-services.png\")
La dashboard di MyKinsta con diversi servizi configurati.<\/figcaption><\/figure><\/figure>\n - \n
- Nell’elenco Aggiungi servizio<\/strong>, clicchiamo su Database<\/strong> e configuriamo i parametri per avviare l’istanza del database:<\/li>\n<\/ol>\n
\n ![\"Il](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-mykinsta-database.png\")
Configurazione del database MyKinsta.<\/figcaption><\/figure><\/figure>\n Questo tutorial utilizza MariaDB, ma si pu\u00f2 scegliere una qualsiasi delle opzioni di database supportate da Laravel che Kinsta mette a disposizione.<\/p>\n
- \n
- Una volta inseriti i dati del database, clicchiamo sul pulsante Continua<\/strong> per completare la procedura.<\/li>\n<\/ol>\n
I database forniti da Kinsta hanno parametri di connessione interni ed esterni. Bisogna utilizzare i parametri di connessione interni per le applicazioni ospitate all’interno dello stesso account Kinsta e i parametri esterni per le connessioni esterne. Pertanto, utilizziamo le credenziali del database esterno di Kinsta per la nostra applicazione.<\/p>\n
- \n
- Copiamo e aggiorniamo le credenziali .env<\/strong> del database dell’applicazione con le credenziali esterne mostrate nella schermata seguente:<\/li>\n<\/ol>\n
\n ![\"La](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-mykinsta-database-settings.png\")
Dettagli della configurazione del database di MyKinsta.<\/figcaption><\/figure><\/figure>\n DB_CONNECTION=mysql\nDB_HOST=your_host_name\nDB_PORT=your_port\nDB_DATABASE=your_database_info\nDB_USERNAME=your_username\nDB_PASSWORD=your_password<\/code><\/pre>\n- \n
- Dopo aver inserito le credenziali del database, verifichiamo la connessione applicando la migrazione del database con il comando seguente:<\/li>\n<\/ol>\n
php artisan migrate<\/code><\/pre>\nSe tutto funziona correttamente, dovreste vedere una risposta simile a quella mostrata qui sotto.<\/p>\n
\n ![\"L'output](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-terminal-database-migration.png\")
Migrazione del database riuscita su un terminale.<\/figcaption><\/figure><\/figure>\n - \n
- Successivamente, usiamo il seguente comando per elencare i percorsi dell’applicazione e vedere i percorsi gi\u00e0 implementati.<\/li>\n<\/ol>\n
php artisan route:list<\/code><\/pre>\nA questo punto, dovremmo vedere gli endpoint API disponibili:<\/p>\n
\n ![\"Il](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-terminal-api-endpoints.png\")
Elenco dei percorsi dell’applicazione sul terminale.<\/figcaption><\/figure><\/figure>\n - \n
- Avviamo l’applicazione e verifichiamo che tutto funzioni correttamente. Possiamo testare questi endpoint tramite il terminale utilizzando uno strumento come Postman<\/a> o CURL.<\/li>\n<\/ol>\n
Come impostare il rate limiting in un’applicazione Laravel<\/h2>\n
Per le applicazioni Laravel sono disponibili diverse tecniche di rate limiting. \u00c8 possibile bloccare un insieme di indirizzi IP<\/a> o imporre limiti di richiesta basati sulla durata in base all’indirizzo IP o all’ID utente di un utente. Di seguito, applichiamo ciascuno di questi metodi.<\/p>\n
- \n
- Installiamo il pacchetto Laravel Throttle con il seguente comando:<\/li>\n<\/ol>\n
composer require \"graham-campbell\/throttle:^10.0\"<\/code><\/pre>\n- \n
- Possiamo anche apportare ulteriori modifiche alle configurazioni di Laravel Throttle pubblicando il file
vendor configurations<\/code>:<\/li>\n<\/ol>\nphp artisan vendor:publish --provider=\"GrahamCampbellThrottleThrottleServiceProvider\"<\/code><\/pre>\nCome bloccare gli indirizzi IP<\/h3>\n
Una delle tecniche di rate limiting permette di bloccare le richieste provenienti da un insieme specifico di indirizzi IP.<\/p>\n
- \n
- Per iniziare, creiamo il middleware necessario:<\/li>\n<\/ol>\n
php artisan make:middleware RestrictMiddleware<\/code><\/pre>\n- \n
- Apriamo quindi il file middleware creato app\/Http\/Middleware\/RestrictMiddleware.php<\/strong> e sostituiamo il codice della funzione
handle<\/code> con il frammento seguente. Assicuriamoci di aggiungereuse App;<\/code> all’elenco delle importazioni all’inizio del file.<\/li>\n<\/ol>\n$restrictedIps = ['127.0.0.1', '102.129.158.0'];\nif(in_array($request->ip(), $restrictedIps)){\n App::abort(403, 'Request forbidden');\n}\nreturn $next($request);<\/code><\/pre>\n- \n
- Nel file app\/Http\/Kernel.php<\/strong>, creiamo un alias per questa applicazione middleware aggiornando l’array
middlewareAliases<\/code> come segue:\nprotected $middlewareAliases = [\n. . .\n'custom.restrict' => AppHttpMiddlewareRestrictMiddleware::class,\n];<\/code><\/pre>\n- \n
- Quindi, applichiamo questo middleware a
\/restricted-route<\/code> nel file routes\/api.php<\/strong> come segue e facciamo un test:<\/li>\n<\/ol>\nRoute::middleware(['custom.restrict'])->group(function () {\n Route::get('\/restricted-route', [BookController::class, 'getBooks']);\n});<\/code><\/pre>\nSe funziona correttamente, questo middleware blocca tutte le richieste provenienti dagli IP dell’array
$restrictedIps<\/code>:127.0.0.1<\/code> e102.129.158.0<\/code>. Le richieste provenienti da questi IP restituiscono una risposta 403 Forbidden<\/strong>, come mostrato di seguito:<\/p>\n\n ![\"L'applicazione](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-postman-returns-403.png\")
Una risposta 403 Forbidden per l’endpoint \/restricted-route GET su Postman<\/figcaption><\/figure><\/figure>\n Come limitare le richieste in base all’indirizzo IP<\/h3>\n
Successivamente, possiamo limitare le richieste in base all’indirizzo IP dell’utente.<\/p>\n
- \n
- Applichiamo il middleware Throttle alle route
GET<\/code> ePATCH<\/code> dell’endpoint\/book<\/code> in routes\/api.php<\/strong>:<\/li>\n<\/ol>\nRoute::middleware(['throttle:minute'])->group(function () {\n Route::get('\/book', [BookController::class, 'getBooks']);\n});\n\nRoute::middleware(['throttle:5,1'])->group(function () {\n Route::patch('\/book', [BookController::class, 'updateBook']);\n});<\/code><\/pre>\n- \n
- Dovremo anche aggiornare la funzione
configureRateLimiting<\/code> nel file app\/Providers\/RouteServiceProvider<\/strong> con il middleware che abbiamo aggiunto alle route precedenti.<\/li>\n<\/ol>\n\u2026 \nRateLimiter::for('minute', function (Request $request) {\n return Limit::perMinute(5)->by($request->ip());\n});<\/code><\/pre>\nQuesta configurazione limita le richieste all’endpoint
\/book GET<\/code> a 5 al minuto, come mostrato di seguito.<\/p>\n\n ![\"L'applicazione](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-postman-returns-429.png\")
Una risposta “429 Too Many Requests” per l’endpoint \/book GET su Postman.<\/figcaption><\/figure><\/figure>\n Come limitare le richieste in base all’ID utente e alle sessioni<\/h3>\n
- \n
- Per limitare la velocit\u00e0 utilizzando i parametri
user_id<\/code> esession<\/code>, aggiorniamo la funzioneconfigureRateLimiting<\/code> nel file app\/Providers\/RouteServiceProvider<\/strong> con i seguenti limitatori e variabili aggiuntive:<\/li>\n<\/ol>\n...\nRateLimiter::for('user', function (Request $request) {\n return Limit::perMinute(10)->by($request->user()?->id ?: $request->ip());\n});\nRateLimiter::for('session', function (Request $request) {\n return Limit::perMinute(15)->by($request->session()->get('key') ?: $request->ip());\n});<\/code><\/pre>\n- \n
- Infine, applichiamo questo codice alle route
\/book\/{id} GET<\/code> e\/book POST<\/code> nel fileroutes\/api.php<\/code>:<\/li>\n<\/ol>\nRoute::middleware(['throttle:user'])->group(function () {\n Route::get('\/book\/{id}', [BookController::class, 'getBook']);\n});\nRoute::middleware(['throttle:session'])->group(function () {\n Route::post('\/book', [BookController::class, 'createBook']);\n});<\/code><\/pre>\nQuesto codice limita le richieste che utilizzano rispettivamente
user_id<\/code> esession<\/code>.<\/p>\nMetodi aggiuntivi in Throttle<\/h3>\n
Laravel Throttle offre diversi metodi aggiuntivi<\/a> per un maggiore controllo sull’implementazione del rate limiting. Questi metodi includono:<\/p>\n
- \n
attempt<\/code> – Colpisce l’endpoint, incrementa il conteggio degli hit e restituisce un booleano che indica se il limite di hit configurato \u00e8 stato superato.<\/li>\nhit<\/code> – Colpisce il Throttle, incrementa il conteggio degli hit e restituisce$this<\/code> per abilitare un’altra chiamata al metodo (opzionale).<\/li>\nclear<\/code> – Azzera il conteggio del Throttle e restituisce$this<\/code> in modo da poter effettuare un’altra chiamata al metodo, se lo desideri.<\/li>\ncount<\/code> – Restituisce il numero totale di accessi al Throttle.<\/li>\ncheck<\/code> – Restituisce un booleano che indica se il limite di hit del Throttle \u00e8 stato superato.<\/li>\n<\/ul>\n- \n
- Per esplorare il rate limiting con questi metodi, creiamo un’applicazione middleware chiamata CustomMiddleware utilizzando il comando seguente:<\/li>\n<\/ol>\n
php artisan make:middleware CustomMiddleware<\/code><\/pre>\n- \n
- Quindi, aggiungiamo i seguenti file di importazione al file middleware appena creato in app\/Http\/Middleware\/CustomMiddleware.php<\/strong>:<\/li>\n<\/ol>\n
use GrahamCampbellThrottleFacadesThrottle;\nuse App;<\/code><\/pre>\n- \n
- Quindi, sostituiamo il contenuto del metodo
handle<\/code> con il seguente frammento di codice:<\/li>\n<\/ol>\n$throttler = Throttle::get($request, 5, 1);\nThrottle::attempt($request);\nif(!$throttler->check()){\n App::abort(429, 'Too many requests');\n}\nreturn $next($request);<\/code><\/pre>\n- \n
- Nel file app\/Http\/Kernel.php<\/strong>, creiamo un alias per questa applicazione middleware aggiornando l’array
middlewareAliases<\/code> come segue.<\/li>\n<\/ol>\nprotected $middlewareAliases = [\n. . .\n'custom.throttle' => AppHttpMiddlewareCustomMiddleware::class, \n];<\/code><\/pre>\n- \n
- Quindi, applichiamo questo middleware a
\/custom-route<\/code> nel file routes\/api.php<\/strong>:<\/li>\n<\/ol>\nRoute::middleware(['custom.throttle'])->group(function () {\n Route::get('\/custom-route', [BookController::class, 'getBooks']);\n});<\/code><\/pre>\nIl middleware personalizzato appena implementato controlla se il limite di strozzatura \u00e8 stato superato utilizzando il metodo
check<\/code>. Se il limite viene superato, risponde con un errore 429. Altrimenti, permette alla richiesta di continuare.<\/p>\nCome distribuire l’applicazione sul server Kinsta<\/h2>\n
Ora che abbiamo esplorato come implementare il rate limiting in un’applicazione Laravel, distribuiamo l’applicazione sul server Kinsta per renderla accessibile a livello globale.<\/p>\n
- \n
- Iniziamo inviando il codice aggiornato a GitHub, GitLab<\/a> o Bitbucket<\/a>.<\/li>\n
- Dalla dashboard di Kinsta, clicchiamo sul pulsante Aggiungi servizio<\/strong> e selezioniamo Applicazione<\/strong> dall’elenco. Colleghiamo l’account Git all’account Kinsta e selezioniamo il repository corretto da distribuire.<\/li>\n
- In Dettagli di base<\/strong>, diamo un nome all’applicazione e scegliamo il data center che preferiamo. Inoltre, assicuriamoci di aver aggiunto le variabili d’ambiente necessarie all’applicazione. Queste corrispondono alle variabili presenti nel file .env<\/strong> locale: le variabili di configurazione di
APP_KEY<\/code> e del database.<\/li>\n<\/ol>\n\n ![\"La](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-mykinsta-app-details.png\")
Dettagli sull’applicazione su MyKinsta.<\/figcaption><\/figure><\/figure>\n - \n
- Clicchiamo sul pulsante Continua<\/strong> per selezionare le variabili dell’ambiente di compilazione. Possiamo lasciare i valori predefiniti, poich\u00e9 Kinsta compila automaticamente i parametri necessari.<\/li>\n
- Nella scheda Processi<\/strong>, possiamo lasciare i valori predefiniti o inserire un nome per il processo. In questa scheda possiamo anche selezionare le dimensioni dei pod e delle istanze.<\/li>\n
- Infine, la scheda Pagamento<\/strong> mostra un riepilogo delle selezioni. Aggiungiamo l’opzione di pagamento che preferiamo per completare il processo.<\/li>\n
- Una volta completato, clicchiamo sulla scheda Applicazioni<\/strong> per visualizzare l’elenco delle applicazioni distribuite.<\/li>\n
- Clicchiamo sul nome dell’applicazione per visualizzarne i dettagli di distribuzione, come mostrato di seguito. Possiamo utilizzare l’URL dell’applicazione per accedervi.<\/li>\n<\/ol>\n
\n ![\"La](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/07\/laravel-throttle-mykinsta-app-deployments.png\")
Dettagli della distribuzione sulla dashboard di MyKinsta.<\/figcaption><\/figure><\/figure>\n Come testare l’applicazione<\/h2>\n
- \n
- Per testare l’applicazione in locale, usiamo il comando
php artisan serve<\/code>.<\/li>\n<\/ol>\n
- Nella scheda Processi<\/strong>, possiamo lasciare i valori predefiniti o inserire un nome per il processo. In questa scheda possiamo anche selezionare le dimensioni dei pod e delle istanze.<\/li>\n
- Dalla dashboard di Kinsta, clicchiamo sul pulsante Aggiungi servizio<\/strong> e selezioniamo Applicazione<\/strong> dall’elenco. Colleghiamo l’account Git all’account Kinsta e selezioniamo il repository corretto da distribuire.<\/li>\n
- Iniziamo inviando il codice aggiornato a GitHub, GitLab<\/a> o Bitbucket<\/a>.<\/li>\n
- Quindi, applichiamo questo middleware a
- Nel file app\/Http\/Kernel.php<\/strong>, creiamo un alias per questa applicazione middleware aggiornando l’array
- Quindi, sostituiamo il contenuto del metodo
- Quindi, aggiungiamo i seguenti file di importazione al file middleware appena creato in app\/Http\/Middleware\/CustomMiddleware.php<\/strong>:<\/li>\n<\/ol>\n
- Infine, applichiamo questo codice alle route
- Per limitare la velocit\u00e0 utilizzando i parametri
- Dovremo anche aggiornare la funzione
- Applichiamo il middleware Throttle alle route
- Quindi, applichiamo questo middleware a
- Nel file app\/Http\/Kernel.php<\/strong>, creiamo un alias per questa applicazione middleware aggiornando l’array
- Apriamo quindi il file middleware creato app\/Http\/Middleware\/RestrictMiddleware.php<\/strong> e sostituiamo il codice della funzione
- Per iniziare, creiamo il middleware necessario:<\/li>\n<\/ol>\n
- Possiamo anche apportare ulteriori modifiche alle configurazioni di Laravel Throttle pubblicando il file
- Installiamo il pacchetto Laravel Throttle con il seguente comando:<\/li>\n<\/ol>\n
- Avviamo l’applicazione e verifichiamo che tutto funzioni correttamente. Possiamo testare questi endpoint tramite il terminale utilizzando uno strumento come Postman<\/a> o CURL.<\/li>\n<\/ol>\n
- Successivamente, usiamo il seguente comando per elencare i percorsi dell’applicazione e vedere i percorsi gi\u00e0 implementati.<\/li>\n<\/ol>\n
- Dopo aver inserito le credenziali del database, verifichiamo la connessione applicando la migrazione del database con il comando seguente:<\/li>\n<\/ol>\n
- Copiamo e aggiorniamo le credenziali .env<\/strong> del database dell’applicazione con le credenziali esterne mostrate nella schermata seguente:<\/li>\n<\/ol>\n
- Una volta inseriti i dati del database, clicchiamo sul pulsante Continua<\/strong> per completare la procedura.<\/li>\n<\/ol>\n
- Nell’elenco Aggiungi servizio<\/strong>, clicchiamo su Database<\/strong> e configuriamo i parametri per avviare l’istanza del database:<\/li>\n<\/ol>\n
- Accediamo alla dashboard dell’account MyKinsta e clicchiamo sul pulsante Aggiungi servizio<\/strong>:<\/li>\n<\/ol>\n
- Visitiamo l’URL per verificare che la pagina di benvenuto di Laravel venga visualizzata:<\/li>\n<\/ol>\n
- Quindi, creiamo un file .env<\/strong> nella directory principale del progetto e copiamo il contenuto di .env.example<\/strong> al suo interno.<\/li>\n
- Un account Kinsta<\/a> attivo<\/li>\n
- Chiave API<\/strong> – Limitare l’accesso tramite chiavi API significa fornire al richiedente delle chiavi API pre-generate e stabilire dei rate limiting per ogni chiave. Con questo approccio, si possono anche applicare diversi livelli di accesso alle chiavi API generate.<\/li>\n