Rate limiting avanzato in Laravel 12: proteggere API e form da abusi
Un endpoint di ricerca senza throttling è un invito: nel mio lavoro su API Laravel ad alto traffico ho visto scraper distribuiti saturare i worker PHP-FPM restando sempre sotto soglia per singolo IP. In questa guida costruisco, passo dopo passo, una strategia di rate limiting per Laravel 12 che parte dalle tre domande giuste: chi stai contando, su quale finestra, e cosa succede a chi sfora?. Continua a leggere
Ultima modifica:
"Laravel è la scelta migliore" è il tipo di affermazione di cui diffido, perché nessuno strumento è il migliore per tutto. Eppure, quando un cliente mi chiede su cosa costruire una nuova applicazione web aziendale, nella maggioranza dei casi la mia risposta è Laravel, e non per moda: è una scelta di ingegneria, fondata su velocità di sviluppo, manutenibilità ed ecosistema. Vediamo perché lo scelgo, cosa lo distingue nel 2026, e quando invece consiglio altro. 
HTTP 402 Payment Required è stato 'reserved for future use' dal 1997. Nel 2026 Cloudflare, Coinbase (x402), Lightning Labs (L402) e Google (AP2) lo hanno finalmente resuscitato per far pagare gli agenti AI che scrapano il web. Ti racconto come ho implementato il pattern nel mio laboratorio personale con Laravel 12, Symfony 7 e PHP vanilla, con numeri reali di 14 giorni di esercizio e la realtà dietro l'hype. 
Claude Code, Cursor e OpenCode mandano già Accept: text/markdown e pagano -80% sui token. Cloudflare ha lanciato 'Markdown for Agents' ma non è l'unica via: implementare la content negotiation RFC 9110 direttamente on-origin ti dà controllo totale senza dipendenze edge. Ti mostro come farlo da Laravel 12, Symfony 7 e PHP vanilla, evitando il falso cloaking di cui parla Mueller. 
Un chatbot RAG sulle procedure interne risponde correttamente al 75-85% delle domande frequenti senza escalation. Ma il self-hosted cambia tutto: nessun dato esce dall'azienda, compliance GDPR diretta, costi prevedibili. Ti mostro l'architettura completa: ingestione documentale, embedding con modelli locali, pgvector, Laravel per orchestrazione, frontend chat React, deployment su VPS Hetzner. 
Un'API Laravel che doveva gestire 1.000 richieste al secondo durante il lancio di un prodotto. Ho costruito scenari k6 realistici basati sui log di produzione precedenti: mix di endpoint, distribuzione temporale, utenti concorrenti. Il test ha trovato un query N+1 che sarebbe diventato catastrofico sotto carico. 
OPcache è la singola ottimizzazione PHP con il maggiore impatto sulle prestazioni: su una applicazione Laravel media, la configurazione corretta riduce il tempo di risposta del 40-60%. Ma la configurazione di default non è ottimale per la produzione. Vi mostro i parametri che cambio sempre e perché. 
Ho integrato quattro gestionali italiani diversi con applicazioni Laravel: ognuno aveva una API SOAP degli anni 2000 con documentazione parziale e comportamenti non documentati. Vi racconto il pattern adapter che uso per isolare l'integrazione dal codice applicativo e come gestire le incongruenze dei dati tra sistemi. 
Il reparto finance di un cliente generava i report mensili esportando 50.000 righe in Excel e filtrando manualmente. Ho costruito una dashboard Laravel con report pre-aggregati: query ottimizzate con indici covering, cache di 4 ore con invalidazione selettiva, export PDF/Excel e grafici interattivi con Chart.js. 
Le password sono il problema più antico della sicurezza web. In una piattaforma Laravel B2B ho implementato autenticazione via passkey (WebAuthn) come alternativa principale e magic link come fallback. Il tasso di supporto dei browser moderni è abbastanza alto da rendere l'approccio pratico in produzione. Vi mostro l'implementazione.