登录
首页 >  Golang >  Go问答

缓存 auth0 JWK 是不是一个坏主意

来源:stackoverflow

时间:2024-04-15 18:00:36 386浏览 收藏

知识点掌握了,还需要不断练习才能熟练运用。下面golang学习网给大家带来一个Golang开发实战,手把手教大家学习《缓存 auth0 JWK 是不是一个坏主意》,在实现功能的过程中也带大家重新温习相关知识点,温故而知新,回头看看说不定又有不一样的感悟!

问题内容

我正在使用 auth0,并且我有两个客户端(ios、react)和一个使用 go-auth0 的 go 后端 api。

我按照文档制作了一个 verify 方法,如下所示:

func verify(handle httprouter.handle) httprouter.handle {
    return func(w http.responsewriter, r *http.request, p httprouter.params) {
        auth0domain := viper.getstring("auth0.issuer")
        audience := []string{viper.getstring("auth0.audience")}

        client := auth0.newjwkclient(auth0.jwkclientoptions{uri: auth0domain + ".well-known/jwks.json"}, nil)
        configuration := auth0.newconfiguration(client, audience, auth0domain, jose.rs256)
        validator := auth0.newvalidator(configuration, nil)
        _, err := validator.validaterequest(r)
        if err != nil {
            w.header().set("content-type", "application/json")
            w.writeheader(http.statusunauthorized)
            json.newencoder(w).encode(map[string]string{"error": "unauthorized"})
            return
        }

        handle(w, r, p)
    }
}

不幸的是,我注意到第一次验证大约需要 400 毫秒,后续验证大约需要 50 毫秒。

但是,如果我用验证器的字段初始化一个结构体,将所有设置代码移动到 initialize() 中,那么只需要 ~1ms:

func Verify(handle httprouter.Handle) httprouter.Handle {
    return func(w http.ResponseWriter, r *http.Request, p httprouter.Params) {

        _, err := a.validator.ValidateRequest(r)
        if err != nil {
            w.Header().Set("Content-Type", "application/json")
            w.WriteHeader(http.StatusUnauthorized)
            json.NewEncoder(w).Encode(map[string]string{"error": "Unauthorized"})
            return
        }

        handle(w, r, p)
    }
}

这是一个坏主意吗?我今天刚刚了解 jwk,查看 auth0 代码,它们似乎确实构建了一个缓存,但我并不完全理解它是如何工作的。

有人可以告诉我将配置移动到结构中并使用其验证器是否是一个好主意吗?

更新

auth0 有一个内置方法可以做到这一点!这是一个例子:

auth0.newjwkclientwithcache(auth0.jwkclientoptions{uri: a.issuer + ".well-known/jwks.json"}, nil, auth0.newmemorykeycacher(time.duration(10)*time.second, 5))

使用此方法,以便它为您缓存! :)


解决方案


缓存客户端对象几乎肯定是安全的,而且这样做通常是一个好主意。 (“创建一个客户端并重用它”是一条很好的一般规则。)

我的理解是,JWT 的签名密钥通常有效期为数月(如果不是更长时间)。 (Auth0's documentation notes,它的 JWKS 文档只有一个密钥,但它会始终发出签名令牌,因此密钥必须在“一段时间内”有效。)RFC 7517 没有在 JWKS 上定义任何与过期相关的参数或单个 JWK,我认为最佳实践是在 JWKS 端点上使用普通 HTTP 缓存控件来偶尔刷新它,但不要经常刷新。

今天带大家了解了的相关知识,希望对你有所帮助;关于Golang的技术知识我们会一点点深入介绍,欢迎大家关注golang学习网公众号,一起学习编程~

声明:本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>