使用 Redis 检查每个请求的访问令牌

Posted 2023-03-04

【中文标题】使用 Redis 检查每个请求的访问令牌

【英文标题】：Check Access Token every Request with Redis

【发布时间】：2013-04-21 06:28:55

【问题描述】：

我目前正在为我的 RESTful API 实施 OAuth 2.0 架构。

对于每个请求，我都会在 HTTP 标头中设置一个授权承载令牌，以便我的所有客户端发出授权请求。

Authorization: Bearer sdflksd3r4823vkn95-03850432 

我了解在 API 中接受令牌直到过期日期是一种常见的做法。但是假设用户想要撤销令牌，我需要采用一种方法来检查每个请求的令牌状态。

所以我想去数据库检查每个 HTTP 请求。由于性能原因，我感觉这不会很好地扩展。

所以我想知道像 Redis 这样的解决方案是否适合非常快速地单次读取访问令牌状态？

【参考方案1】：

为令牌使用 HMAC 的目的是让服务器可以快速验证它，而无需调用任何外部数据存储（例如 Redis、mysql 等）。由于没有共享状态（验证令牌的所有信息都是令牌本身和 HMAC 的密钥），因此这具有很好地扩展到多个服务器的额外好处。

如果您要拥有一个已撤销令牌的黑名单，那么 Redis 之类的东西可能就可以了（尽管仍然比不为每个令牌验证进行远程调用要慢）。正确设置，Redis 实例和 API 服务器之间的延迟较低，您应该会看到每个请求

奖励：另一个加快速度的方法是使用Bloom filter 来处理被拒绝的 API 请求的缓存。这样，只有在 Bloom 过滤器将请求令牌标记为可能已撤销时，您才会转到 Redis。请注意，由于这是另一层缓存，因此您必须在令牌被拒绝时更新 Bloom 过滤器的状态。

【讨论】：

我确实在考虑使用布隆过滤器。虽然我也想知道使用单例缓存是否是一个可行的选择

如果你只有一个服务器，那么你有更多的选择，因为你只需要在一个地方维护状态。拥有像 Redis 这样的外部服务器来维护状态允许您拥有多个 API 服务器。单例仅在您有单个服务器时才有效。另一种选择是分布式地图（Coherence、Hazelcast 等）。如果令牌的过期时间相对较短，那么您也可以在它们过期时从分布式地图中删除 then 以减小其大小。

优秀的答案。非常感谢！

【参考方案2】：

我正在为自己制作类似的东西。 对于令牌语法和加密，我建议你使用JWT，这是一个很好的标准。 使用 redis 存储一对 token/userid 是可以的，也因为我们可以设置一个过期值。 我还在中间插入了一个布隆过滤器，但我的做法与 sehrope 建议相反：我在登录时通过布隆过滤器存储所有令牌，所以如果令牌不存在，它肯定是无效的； else 可能是正确的，但我必须检查一下 Redis 以确定；但现在我有一个问题：如果我想扩展我的身份验证系统，我需要一个身份验证服务器之间的有状态负载平衡器。 恕我直言，使用布隆过滤器创建黑名单是不正确的：如果我在布隆过滤器中将已撤销和错误的令牌列入黑名单，如果该项目未列入黑名单，布隆过滤器将返回 false （我必须在 redis 后端检查它以授权）；否则，如果一个元素存在（列入黑名单），我必须在 redis 上检查它以确定，因为布隆过滤器的真实响应可能是误报。

【讨论】：

我实际上是在存储在 sessionStorage 中的 AngularJS 站点上使用 JWT 令牌。每次关闭浏览器应用程序时，他们都必须登录。这也是一个 30 分钟的到期时间，用户必须重新发行另一个令牌。我只是简单地用redis做个记录，它让我可以很快找到token。