تحديد معدل الطلبات والتخفيف في الـ API

<?php // routes/api.php use Illuminate\Support\Facades\Route; // التخفيف الأساسي: 60 طلب في الدقيقة Route::middleware(['throttle:60,1'])->group(function () { Route::get('/users', [UserController::class, 'index']); Route::get('/posts', [PostController::class, 'index']); }); // معدل مختلف للمستخدمين المصادق عليهم Route::middleware(['auth:sanctum', 'throttle:100,1'])->group(function () { Route::post('/posts', [PostController::class, 'store']); Route::put('/posts/{id}', [PostController::class, 'update']); }); // تحديد معدل لكل مستخدم (حد المعدل لكل مستخدم مصادق عليه) Route::middleware(['auth:sanctum', 'throttle:api'])->group(function () { Route::get('/profile', [ProfileController::class, 'show']); }); </pre>

// التنسيق: throttle:max_attempts,decay_minutes // 60 طلب في الدقيقة 'throttle:60,1' // 1000 طلب في الساعة (60 دقيقة) 'throttle:1000,60' // 10000 طلب في اليوم (1440 دقيقة) 'throttle:10000,1440' // استخدام محدد معدل مسمى (محدد في RouteServiceProvider) 'throttle:api' // معدل ديناميكي بناءً على خاصية المستخدم 'throttle:rate_limit,1'

<?php // app/Providers/RouteServiceProvider.php namespace App\Providers; use Illuminate\Cache\RateLimiting\Limit; use Illuminate\Foundation\Support\Providers\RouteServiceProvider as ServiceProvider; use Illuminate\Http\Request; use Illuminate\Support\Facades\RateLimiter; class RouteServiceProvider extends ServiceProvider { public function boot(): void { // محدد معدل API الافتراضي RateLimiter::for('api', function (Request $request) { return Limit::perMinute(60) ->by($request->user()?->id ?: $request->ip()); }); // تحديد معدل متدرج بناءً على اشتراك المستخدم RateLimiter::for('tiered', function (Request $request) { $user = $request->user(); if (!$user) { // مستخدمون مجهولون: 10 طلبات في الدقيقة return Limit::perMinute(10)->by($request->ip()); } // حد المعدل بناءً على خطة المستخدم return match ($user->subscription_plan) { 'free' => Limit::perMinute(50)->by($user->id), 'pro' => Limit::perMinute(200)->by($user->id), 'enterprise' => Limit::perMinute(1000)->by($user->id), default => Limit::perMinute(30)->by($user->id), }; }); // حدود معدل متعددة (دمج في الدقيقة والساعة) RateLimiter::for('strict', function (Request $request) { return [ Limit::perMinute(60)->by($request->user()?->id ?: $request->ip()), Limit::perHour(1000)->by($request->user()?->id ?: $request->ip()), ]; }); // تحديد معدل خاص بنقطة نهاية API RateLimiter::for('expensive', function (Request $request) { return Limit::perMinute(5) ->by($request->user()?->id ?: $request->ip()) ->response(function (Request $request, array $headers) { return response()->json([ 'error' => 'عمليات مكلفة كثيرة جدًا. يرجى المحاولة مرة أخرى لاحقًا.', 'retry_after' => $headers['Retry-After'] ?? 60, ], 429, $headers); }); }); } } </pre>

// رؤوس الاستجابة عند تنشيط تحديد المعدل: X-RateLimit-Limit: 60 // الحد الأقصى للمحاولات المسموح بها X-RateLimit-Remaining: 47 // المحاولات المتبقية في النافذة Retry-After: 45 // ثوان حتى إعادة تعيين حد المعدل X-RateLimit-Reset: 1708012800 // طابع زمني Unix عندما يتم إعادة تعيين الحد

<?php // مثال على عميل API يتعامل مع حدود المعدل class ApiClient { private int $remainingRequests = 0; private int $resetTimestamp = 0; public function makeRequest(string $url, array $data = []): array { // تحقق مما إذا كنا محدودين بالمعدل if ($this->remainingRequests === 0 && time() < $this->resetTimestamp) { $waitSeconds = $this->resetTimestamp - time(); throw new RateLimitException("محدود بالمعدل. أعد المحاولة خلال {$waitSeconds} ثانية."); } $response = Http::withToken($this->apiKey)->get($url, $data); // تحديث تتبع حد المعدل من الرؤوس $this->remainingRequests = (int) $response->header('X-RateLimit-Remaining'); $this->resetTimestamp = (int) $response->header('X-RateLimit-Reset'); if ($response->status() === 429) { $retryAfter = (int) $response->header('Retry-After', 60); throw new RateLimitException("تم تجاوز حد المعدل. أعد المحاولة بعد {$retryAfter} ثانية."); } return $response->json(); } } </pre>

<?php // app/Providers/RouteServiceProvider.php RateLimiter::for('cost-based', function (Request $request) { $user = $request->user(); $cost = $request->route()?->getAction('cost') ?? 1; return Limit::perMinute(100) ->by($user?->id ?: $request->ip()) ->response(function () use ($cost) { return response()->json([ 'error' => 'تم تجاوز حد المعدل', 'cost' => $cost, ], 429); }); }); // routes/api.php Route::get('/search', [SearchController::class, 'search']) ->middleware('throttle:cost-based') ->defaults('cost', 5); // تكلفة نقطة النهاية هذه 5 نقاط Route::get('/users', [UserController::class, 'index']) ->middleware('throttle:cost-based') ->defaults('cost', 1); // تكلفة نقطة النهاية هذه نقطة واحدة </pre>

<?php RateLimiter::for('burst-protection', function (Request $request) { return [ // السماح بالاندفاعات: 10 طلبات في الثانية Limit::perSecond(10)->by($request->user()?->id ?: $request->ip()), // المعدل المستدام: 100 طلب في الدقيقة Limit::perMinute(100)->by($request->user()?->id ?: $request->ip()), // الحد اليومي: 10,000 طلب يوميًا Limit::perDay(10000)->by($request->user()?->id ?: $request->ip()), ]; }); </pre>

<?php RateLimiter::for('combined', function (Request $request) { $user = $request->user(); if ($user) { // المستخدمون المصادق عليهم: التتبع حسب معرف المستخدم و IP return [ Limit::perMinute(100)->by($user->id), Limit::perMinute(200)->by($request->ip()), // لكل IP (مستخدمون متعددون) ]; } // المستخدمون المجهولون: حدود أكثر صرامة على أساس IP return Limit::perMinute(20)->by($request->ip()); }); </pre>

<?php // app/Http/Middleware/ApiThrottle.php namespace App\Http\Middleware; use Closure; use Illuminate\Http\Request; use Illuminate\Support\Facades\Cache; use Symfony\Component\HttpFoundation\Response; class ApiThrottle { public function handle(Request $request, Closure $next, int $maxAttempts = 60): Response { $key = $this->resolveRequestSignature($request); $maxAttempts = $this->resolveMaxAttempts($request, $maxAttempts); $decaySeconds = 60; // الحصول على عدد المحاولات الحالية $attempts = Cache::get($key, 0); if ($attempts >= $maxAttempts) { $retryAfter = $this->getRetryAfter($key, $decaySeconds); return response()->json([ 'error' => 'طلبات كثيرة جدًا', 'message' => "تم تجاوز حد المعدل البالغ {$maxAttempts} طلب في الدقيقة.", 'retry_after' => $retryAfter, ], 429)->withHeaders([ 'X-RateLimit-Limit' => $maxAttempts, 'X-RateLimit-Remaining' => 0, 'Retry-After' => $retryAfter, 'X-RateLimit-Reset' => time() + $retryAfter, ]); } // زيادة عدد المحاولات $this->incrementAttempts($key, $decaySeconds); $response = $next($request); // إضافة رؤوس حد المعدل return $this->addHeaders( $response, $maxAttempts, $maxAttempts - $attempts - 1, $decaySeconds ); } protected function resolveRequestSignature(Request $request): string { if ($user = $request->user()) { return 'throttle:' . $user->id; } return 'throttle:' . $request->ip(); } protected function resolveMaxAttempts(Request $request, int $default): int { // السماح للمستخدمين المميزين بحدود أعلى if ($user = $request->user()) { return $user->rate_limit ?? $default; } return $default; } protected function incrementAttempts(string $key, int $decaySeconds): void { if (Cache::has($key)) { Cache::increment($key); } else { Cache::put($key, 1, $decaySeconds); } } protected function getRetryAfter(string $key, int $decaySeconds): int { return Cache::get($key . ':timer', $decaySeconds); } protected function addHeaders(Response $response, int $limit, int $remaining, int $reset): Response { return $response->withHeaders([ 'X-RateLimit-Limit' => $limit, 'X-RateLimit-Remaining' => max(0, $remaining), 'X-RateLimit-Reset' => time() + $reset, ]); } } </pre>

<?php // Migration Schema::create('api_rate_limits', function (Blueprint $table) { $table->id(); $table->foreignId('user_id')->constrained()->cascadeOnDelete(); $table->string('endpoint'); $table->integer('max_attempts')->default(60); $table->integer('decay_minutes')->default(1); $table->timestamps(); $table->unique(['user_id', 'endpoint']); }); // Model class ApiRateLimit extends Model { protected $fillable = ['user_id', 'endpoint', 'max_attempts', 'decay_minutes']; public function user() { return $this->belongsTo(User::class); } } // الاستخدام في RouteServiceProvider RateLimiter::for('database', function (Request $request) { $user = $request->user(); $endpoint = $request->route()?->getName(); if ($user && $endpoint) { $rateLimit = ApiRateLimit::where('user_id', $user->id) ->where('endpoint', $endpoint) ->first(); if ($rateLimit) { return Limit::perMinute($rateLimit->max_attempts) ->by($user->id); } } // الاحتياطي الافتراضي return Limit::perMinute(60)->by($request->ip()); }); </pre>

<?php // app/Listeners/LogRateLimitHit.php namespace App\Listeners; use Illuminate\Auth\Events\RateLimitHit; use Illuminate\Support\Facades\Log; class LogRateLimitHit { public function handle(RateLimitHit $event): void { Log::warning('تم تجاوز حد المعدل', [ 'ip' => request()->ip(), 'user_id' => auth()->id(), 'endpoint' => request()->path(), 'user_agent' => request()->userAgent(), ]); // اختياريًا تخزين في قاعدة البيانات للتحليلات RateLimitViolation::create([ 'user_id' => auth()->id(), 'ip_address' => request()->ip(), 'endpoint' => request()->path(), 'violated_at' => now(), ]); } } // التسجيل في EventServiceProvider protected $listen = [ \Illuminate\Auth\Events\RateLimitHit::class => [ LogRateLimitHit::class, ], ]; </pre>

<?php // tests/Feature/RateLimitingTest.php namespace Tests\Feature; use App\Models\User; use Illuminate\Foundation\Testing\RefreshDatabase; use Tests\TestCase; class RateLimitingTest extends TestCase { use RefreshDatabase; public function test_rate_limiting_works_for_guests() { // قم بإجراء 60 طلبًا (يجب أن ينجح) for ($i = 0; $i < 60; $i++) { $response = $this->getJson('/api/users'); $response->assertStatus(200); } // الطلب الـ 61 يجب أن يكون محدودًا بالمعدل $response = $this->getJson('/api/users'); $response->assertStatus(429); $response->assertHeader('Retry-After'); } public function test_authenticated_users_have_higher_limits() { $user = User::factory()->create(['subscription_plan' => 'pro']); // قم بإجراء 200 طلب (حد خطة pro) for ($i = 0; $i < 200; $i++) { $response = $this->actingAs($user)->getJson('/api/posts'); $response->assertStatus(200); } // الطلب الـ 201 يجب أن يكون محدودًا بالمعدل $response = $this->actingAs($user)->getJson('/api/posts'); $response->assertStatus(429); } public function test_rate_limit_headers_are_present() { $response = $this->getJson('/api/users'); $response->assertHeader('X-RateLimit-Limit'); $response->assertHeader('X-RateLimit-Remaining'); $response->assertHeader('X-RateLimit-Reset'); } } </pre>