1. Throttleミドルウェアとは？

Throttleミドルウェアは、リクエストの回数を制御するためのLaravel組み込み機能です。英語で「throttle」は『スロットル』、つまり『制限』や『絞る』という意味です。悪意ある大量アクセスや誤操作による過剰なリクエストを防ぐことができます。

2. 基本的な使い方

Throttleミドルウェアはルートに指定して使います。書き方は簡単で、コロンでパラメータを渡します。例えば以下のように設定します。


Route::middleware('throttle:60,1')->group(function () {
    Route::get('/api/data', 'ApiController@data');
});

この例では、1分間に60回までのアクセスを許可しています。もし制限を超えるとHTTPステータス 429 Too Many Requests が返されます。

3. パラメータの意味

Throttleのパラメータは throttle:回数,分 の形式です。最初の数字が許可される回数、2つ目が時間の単位（分）です。

例えば throttle:100,1 は1分間に100回までアクセス可能、throttle:10,5 は5分間で10回までという意味です。

4. 個別ルートへの適用例

ログインページなど、アクセスが集中しやすい場所には個別にThrottleを設定できます。


Route::post('/login', 'AuthController@login')
     ->middleware('throttle:5,1');

この例では、1分間に5回までしかログインリクエストを受け付けません。これによりブルートフォース攻撃などを防ぐことができます。

5. APIルートへの適用例

API開発では、多くのユーザーが同時にアクセスすることが予想されます。Throttleミドルウェアでリクエスト制限をかけることで、サーバーの負荷を軽減できます。


Route::middleware('throttle:1000,1')->group(function () {
    Route::get('/api/user', 'ApiController@user');
    Route::get('/api/posts', 'ApiController@posts');
});

この設定では、1分間に1000回までのリクエストが可能です。用途に応じて回数を調整してください。

6. 注意点とベストプラクティス

Throttleミドルウェアはルート単位で設定できる
複数のAPIやフォームに異なる回数制限を設定可能
パラメータの回数と時間を間違えないようにする
ユーザーごとの制限をかけたい場合はデフォルトでIPアドレスやユーザーIDを基準に制御される
大量アクセスや不正リクエストからアプリケーションを守る基本的なセキュリティ対策として有効

7. 実践的な応用

例えば、無料ユーザーと有料ユーザーでアクセス制限を変えることも可能です。パラメータを調整するだけで簡単に柔軟な制御ができます。


Route::middleware('throttle:50,1')->group(function () {
    Route::get('/api/free', 'ApiController@free');
});

Route::middleware('throttle:500,1')->group(function () {
    Route::get('/api/premium', 'ApiController@premium');
});

この設定により、無料ユーザーは1分間50回まで、有料ユーザーは1分間500回までアクセス可能です。