我是 API 所有者,将解码作为授权标头的一部分传递的 JWT 或访问令牌,以使用我的服务。由于解码是一个代价高昂的过程,我打算将令牌保存在弱哈希映射或 CacheBuilder 中
private Map cache = new WeakHashMap();
或
LoadingCache<Key, Graph> graphs = CacheBuilder.newBuilder()
.expireAfterWrite(10, TimeUnit.MINUTES)
首先,这是一个好习惯吗?
其次,如果没有,除了每次都验证之外,我还有什么其他选择?
【问题讨论】:
标签: java access-token jwt
不,这不是一个好的做法(如果您特别谈论 JWT)。 JWT 的主要目标之一是让服务器免于查找任何其他位置(会话、本地存储、数据库)。通过这种方式,您可以获得真正无状态的 API,服务器可以以相同的方式处理请求,无论它是第一个客户端的请求还是第 100 个请求。具有这种灵活性大大降低了分布式部署(即集群)的复杂性。每个节点只需要知道如何验证 JWT(如果加密则解密),通常只需为其提供共享密钥即可。没有会话复制,没有数据库查找,没有节点间通信。
与数据库查找或会话复制机制相比,检查令牌(检查签名并在必要时解密)的成本可以忽略不计。仅在单个服务器节点的情况下,您使用哈希映射的参数会产生更好的性能。然而现在,您想要编写一个非常容易部署到集群的 API。
您需要决定是否加密 JWT(这可以节省一些处理时间)。通常加密根本没有必要,人们只是添加它,因为它听起来“更安全”。考虑一下您将放入令牌中的数据,如果它落入坏人之手,是否会被滥用。
【讨论】: