Laravelのミドルウェアにパラメータを渡す方法!throttleや制限設定も解説
生徒
「先生、Laravelのミドルウェアに数字や文字を渡して動作を変えられるって本当ですか?」
先生
「はい、ミドルウェアにはパラメータを渡すことができます。例えば、アクセス制限の回数を指定する throttle:60,1 のような形です。」
生徒
「throttle:60,1ってどういう意味ですか?」
先生
「これは1分間に60回までアクセスを許可するという意味です。throttleは『制限』という意味で、APIやログインページのアクセス制御に便利です。」
1. ミドルウェアのパラメータとは?
Laravelのミドルウェアは、リクエストを受け取ったときに処理を追加する仕組みです。パラメータを渡すことで、同じミドルウェアでも動作を変えることができます。例えば、アクセス回数の上限や時間制限など、設定値を柔軟に変更できます。
2. パラメータ付きミドルウェアの書き方
パラメータ付きミドルウェアは、ルートで指定する際にコロン(:)とカンマ(,)を使います。例えば以下のように書きます。
Route::middleware('throttle:60,1')->group(function () {
Route::get('/api/data', 'ApiController@data');
});
この場合、throttle ミドルウェアに 60,1 というパラメータが渡されます。1分間に最大60回までアクセス可能です。
3. 自作ミドルウェアにパラメータを渡す方法
自分で作ったミドルウェアでもパラメータを受け取ることができます。例えば年齢制限のミドルウェアを作る場合を考えます。
public function handle($request, Closure $next, $minAge)
{
if ($request->user()->age < $minAge) {
return response('アクセス禁止', 403);
}
return $next($request);
}
この例では、$minAge というパラメータを受け取り、ユーザーの年齢が条件を満たさない場合はアクセスを拒否します。
4. ルートでのパラメータ指定方法
ルートでミドルウェアにパラメータを渡すときは、以下のように書きます。
Route::get('/restricted', 'UserController@index')
->middleware('check.age:18');
この場合、check.age ミドルウェアに 18 というパラメータが渡されます。ユーザーの年齢が18歳未満ならアクセスが拒否されます。
5. throttleミドルウェアの活用例
Laravelには組み込みの throttle ミドルウェアがあります。APIやログインフォームのアクセス制限に使えます。使い方の例を示します。
Route::middleware('throttle:10,1')->group(function () {
Route::post('/login', 'AuthController@login');
});
この設定では、1分間に10回までログインリクエストが可能です。もし超えた場合は429 Too Many Requests というHTTPステータスでアクセスが拒否されます。
6. パラメータ付きミドルウェアのポイント
- コロン(:)でミドルウェア名とパラメータを区切る
- 複数のパラメータはカンマ(,)で区切る
- 自作ミドルウェアでは
handleメソッドの引数で受け取る - APIやログインなど、回数制限や条件チェックに活用できる
- パラメータを使うことで、柔軟で再利用可能なミドルウェアが作れる
7. 実践例と注意点
例えば、異なるルートで異なる制限を設定したい場合、パラメータ付きミドルウェアが便利です。
Route::get('/api/free', 'ApiController@free')
->middleware('throttle:100,1');
Route::get('/api/premium', 'ApiController@premium')
->middleware('throttle:1000,1');
無料APIは1分間100回、プレミアムAPIは1分間1000回と制限を変えることができます。注意点として、パラメータの順序や型を間違えないようにしましょう。
まとめ
Laravelミドルウェアにパラメータを渡す仕組みを理解しよう
Laravelのミドルウェアは、リクエストがコントローラーへ到達する前やレスポンスが返る前に処理を追加できる非常に重要な機能です。Webアプリケーションのセキュリティ対策やアクセス制御、ログ記録、認証処理など、多くの場面で利用されます。その中でもミドルウェアにパラメータを渡す仕組みを理解しておくと、同じミドルウェアをさまざまな用途で再利用できるようになり、アプリケーションの設計がより柔軟になります。
例えばアクセス制限を行う場合、すべてのルートで同じ回数制限にする必要はありません。APIによっては多くのアクセスを許可したいものもあれば、ログインや認証のようにセキュリティを重視して回数を少なくしたい処理もあります。このような場合に便利なのが、Laravelのミドルウェアにパラメータを渡す方法です。ルート定義の中でコロンとカンマを使って値を指定するだけで、ミドルウェアの動作を簡単に変更できます。
throttleミドルウェアの基本的な考え方
Laravelには最初から用意されている便利なミドルウェアの一つとしてthrottleがあります。これはアクセス回数制限を行うミドルウェアで、APIやログインフォームなどに使われることが多い機能です。例えば1分間に60回までアクセスを許可する場合は、ルート定義で次のように指定します。
Route::middleware('throttle:60,1')->group(function () {
Route::get('/api/data', 'ApiController@data');
});
この設定では1分間に60回までアクセス可能となり、それを超えた場合はHTTPステータス429が返されます。API開発では特に重要な設定であり、不正アクセスや大量リクエストによるサーバー負荷を防ぐためにも役立ちます。
自作ミドルウェアでもパラメータを受け取れる
Laravelの強みは、フレームワークが提供する機能だけでなく、自分で作成したミドルウェアにも同じ仕組みを適用できる点です。handleメソッドの引数にパラメータを追加することで、ルートから渡された値を受け取ることができます。例えば年齢制限をチェックするミドルウェアを作る場合、次のように書くことができます。
public function handle($request, Closure $next, $minAge)
{
if ($request->user()->age < $minAge) {
return response('アクセス禁止', 403);
}
return $next($request);
}
このミドルウェアでは最小年齢をパラメータとして受け取り、ユーザーの年齢が条件を満たしていない場合はアクセスを拒否します。ルート側では次のように指定します。
Route::get('/restricted', 'UserController@index')
->middleware('check.age:18');
この設定では十八歳未満のユーザーはアクセスできないようになります。ミドルウェアを再利用できるため、年齢制限が異なるページでも同じミドルウェアを使い回すことができます。
複数パラメータを渡すケース
ミドルウェアには複数のパラメータを渡すことも可能です。値はカンマで区切って指定します。Laravelのthrottleミドルウェアはまさにこの形式で使われています。最初の値が回数制限、二つ目の値が時間の単位です。
Route::middleware('throttle:10,1')->group(function () {
Route::post('/login', 'AuthController@login');
});
この設定では一分間に十回までログイン処理を行うことができます。ログインページではブルートフォース攻撃を防ぐため、このような制限を設けることがとても重要です。Laravelのミドルウェアはセキュリティ対策としても非常に優れた仕組みといえるでしょう。
API設計で役立つミドルウェアの使い分け
実際の開発では、すべてのAPIに同じ制限をかけるのではなく、用途に応じて異なる制限を設定することがよくあります。例えば無料プランのAPIと有料プランのAPIでアクセス制限を変えることも可能です。次のように設定すれば、異なる制限を簡単に実現できます。
Route::get('/api/free', 'ApiController@free')
->middleware('throttle:100,1');
Route::get('/api/premium', 'ApiController@premium')
->middleware('throttle:1000,1');
このようにミドルウェアのパラメータを使うことで、同じコードを使いながら異なるルールを適用することができます。Laravelのミドルウェア設計を理解しておくと、保守性の高いWebアプリケーションやAPIを作ることができるようになります。
Laravelミドルウェアの重要ポイント
Laravelミドルウェアのパラメータ指定を理解するためには、いくつか覚えておきたいポイントがあります。まずミドルウェア名とパラメータはコロンで区切ります。そして複数のパラメータはカンマで区切ります。また自作ミドルウェアではhandleメソッドの引数として受け取ることを忘れないようにしましょう。
この仕組みを理解しておくと、Laravelのルーティング設計やAPI開発が非常に効率的になります。特にアクセス制御や条件チェックの処理をミドルウェアとしてまとめておくことで、コントローラーのコードをシンプルに保つことができます。結果として、読みやすく保守しやすいLaravelアプリケーションを作ることができます。
生徒
先生、Laravelのミドルウェアにパラメータを渡すことで、同じミドルウェアをいろいろな場所で使い分けできるということが分かりました。例えばアクセス回数制限や年齢制限などを柔軟に設定できるのですね。
先生
その通りです。LaravelのミドルウェアはWebアプリケーションの処理の流れを制御する重要な仕組みです。パラメータを渡すことで、ミドルウェアの再利用性が高まり、コードの管理もしやすくなります。
生徒
throttleミドルウェアのように、アクセス回数と時間を指定して制限できる仕組みもとても便利ですね。API開発では特に重要そうです。
先生
そうですね。APIやログイン処理ではセキュリティ対策が重要です。Laravelのミドルウェアを活用すれば、不正アクセスや大量リクエストを防ぐことができます。
生徒
ルート定義でコロンとカンマを使ってパラメータを渡すという書き方も覚えました。Laravelのルーティングとミドルウェアを組み合わせることで、アプリケーションの制御がとても分かりやすくなりますね。
先生
その理解で大丈夫です。Laravel開発ではミドルウェア、ルーティング、コントローラーをうまく組み合わせることが大切です。今回学んだパラメータ付きミドルウェアを使えば、より実践的なLaravelアプリケーションを作れるようになります。これからAPI開発や認証機能を作るときにもぜひ活用してみてください。
商用Laravel 11 実務設計講座:サービスコンテナとAPIアーキテクチャの正解
ハローワーク職業訓練講師の実績を持つプロが監修。商用PHP開発の「現場の作法」を完全伝授。
「商用ロジック」を堅牢に設計する。Laravel 11でバックエンドエンジニアへの市場価値を最大化。
本講座では、単なる構文の暗記ではなく、「疎結合なサービス設計と依存性の注入(DI)」という本質的な技術を学びます。モダン開発のデファクトスタンダードであるLaravel 11を通じて、高単価案件で必須となるAPIアーキテクチャや保守性の高いコード設計を最短距離で身につけます。
具体的なワークショップ内容と環境
【つくるもの】
商用システムでも通用する「認証基盤を備えたRESTful API」の土台を構築します。ルーティング、Controllerでのリクエスト処理、Eloquentを用いたデータベース最適化など、現場で評価される「クリーンなバックエンド実装」をゼロから体験してください。
【開発環境】
プロの開発現場で標準のVisual Studio Code (VS Code)に加え、Laravel開発を加速させるPHPStorm対応のテクニックも紹介。Dockerコンテナ環境(Laravel Sail)を用いた環境構築から、テスト自動化(Pest/PHPUnit)の導入まで、現場基準のフローを一緒に構築します。
この60分で得られる3つの武器
コントローラーを肥大化させないビジネスロジックの分離手法を学び、大規模開発で通用する設計力を習得します。
N+1問題の解消やインデックスの意識など、高負荷時でもパフォーマンスを落とさないデータベース操作技術を体得します。
OWASP基準の脆弱性対策や、FormRequestを用いた堅牢なデータ整合性の保ち方を伝授し、プロの品質を保証します。
※本講座は、将来的にバックエンドエンジニア、リードエンジニア、サーバーサイドエンジニアを目指す方のための実践講座です。「PHPランド」独自の現役PLによるマンツーマン形式により、商用開発で直面する高度な疑問をその場で解決します。
20名規模のプロジェクトを率いる現役PL(プロジェクトリーダー)かつ、ハローワーク等の職業訓練で長年指導経験を持つ講師が、実務で通用するPHPバックエンド設計を体系的に解説。自己流ではない、市場価値を高めるための「最短到達」を支援します。
