基于令牌的身份验证和可扩展性？错觉？

Posted 2023-03-10

【中文标题】基于令牌的身份验证和可扩展性？错觉？

【英文标题】：Token based authentication and scalability? An illusion?

【发布时间】：2016-04-11 08:04:49

【问题描述】：

我刚刚读到The Ins and Outs of Token-based Authentication。它声称可伸缩性是server based Authentication 的主要问题，因为服务器必须在本地存储会话。它会提示token based authentication 作为治疗方法。

但真的吗？

身份验证只是可能导致可伸缩性问题的可能位置之一。只要在服务器端存储了任何用户特定的状态信息，无论它是存储在会话范围还是 Web 应用程序范围，这也会导致可伸缩性问题。说token based authentication 单独可以解决可扩展性问题过于夸张。还有太多其他因素，这些因素要强得多。 仅仅因为基于令牌的身份验证是无状态的，并不意味着整个服务器都可以是无状态的。

我们以JWT为例，通过definition of JWT：

JSON Web Token (JWT) 是一个开放标准 (RFC 7519)，它定义了一个 用于安全传输信息的紧凑且独立的方式 各方之间作为 JSON 对象。这些信息可以被验证和 受信任，因为它经过数字签名。

我认为 JWT 不适合存储身份验证数据之外的状态信息。因为常见的JWT存储合理的地方都有小尺寸限制，比如HTTP header、Cookie。

你同意吗？任何人都可以对此有所了解吗？

【问题讨论】：

您可以将会话存储在像 dynamoDB 这样的 noSql 数据库中。

【参考方案1】：

您的应用程序是否需要会话状态来处理其他事情不会影响使用 JWT 令牌的可扩展性特征。

完全有可能设计一个真正的无状态应用程序，在这种情况下，使用基于令牌的身份验证可以让您保持无状态状态。

您不应使用安全令牌来存储会话信息，因为令牌已签名并且会话信息通常是易变的。每次其中一项声明发生变化时，发行人都需要对令牌进行签名。

【讨论】：

谢谢。关于无状态应用，是否只适用于特定类型的应用？

@smwikipedia 应用程序是无状态的，因此它们可以更容易地扩展。如今，您看到了对有状态（参与者）服务的重新兴趣，尤其是在游戏和物联网方面。但它们在提供可扩展性和可靠性的平台上运行（例如，请参阅 Azure Service Fabric）。