缓存 auth0 JWK 是不是一个坏主意

【问题标题】:Is it a bad idea to cache auth0 JWK缓存 auth0 JWK 是不是一个坏主意
【发布时间】:2019-02-01 03:21:05
【问题描述】:

我正在使用 auth0,我有两个客户端(ios、react)和一个使用 go-auth0 的 Go 后端 API。

我按照文档做了一个Verify 方法,如下所示:

func Verify(handle httprouter.Handle) httprouter.Handle {
    return func(w http.ResponseWriter, r *http.Request, p httprouter.Params) {
        auth0Domain := viper.GetString("auth0.issuer")
        audience := []string{viper.GetString("auth0.audience")}

        client := auth0.NewJWKClient(auth0.JWKClientOptions{URI: auth0Domain + ".well-known/jwks.json"}, nil)
        configuration := auth0.NewConfiguration(client, audience, auth0Domain, jose.RS256)
        validator := auth0.NewValidator(configuration, nil)
        _, err := validator.ValidateRequest(r)
        if err != nil {
            w.Header().Set("Content-Type", "application/json")
            w.WriteHeader(http.StatusUnauthorized)
            json.NewEncoder(w).Encode(map[string]string{"error": "Unauthorized"})
            return
        }

        handle(w, r, p)
    }
}

不幸的是,我注意到第一次验证大约需要 400 毫秒,后续验证需要大约 50 毫秒。

但是,如果我使用验证器的字段初始化结构,将所有设置代码移动到Initialize(),则只需约 1 毫秒:

func Verify(handle httprouter.Handle) httprouter.Handle {
    return func(w http.ResponseWriter, r *http.Request, p httprouter.Params) {

        _, err := a.validator.ValidateRequest(r)
        if err != nil {
            w.Header().Set("Content-Type", "application/json")
            w.WriteHeader(http.StatusUnauthorized)
            json.NewEncoder(w).Encode(map[string]string{"error": "Unauthorized"})
            return
        }

        handle(w, r, p)
    }
}

这是一个坏主意吗?我今天只是在学习 JWK 并查看 auth0 代码,它们似乎确实构建了一个缓存,但我并不完全理解它是如何工作的。

如果将配置移动到结构中并使用其验证器是否是个好主意,有人可以告诉我吗?

更新

auth0 有一个内置方法可以做到这一点!这是一个例子:

auth0.NewJWKClientWithCache(auth0.JWKClientOptions{URI: a.issuer + ".well-known/jwks.json"}, nil, auth0.NewMemoryKeyCacher(time.Duration(10)*time.Second, 5))

使用此方法,以便为您缓存! :)

【问题讨论】:

    标签: go jwt auth0 jwk


    【解决方案1】:

    缓存客户端对象几乎肯定是安全的,而且这样做通常是一个好主意。 (“创建一个客户端并重用它”是一个很好的一般规则。)

    我的理解是,JWT 的签名密钥通常有效期为几个月,甚至更长。 (Auth0's documentation notes 它的 JWKS 文档只有一个密钥,但它会一直发出签名令牌,因此密钥必须在“一段时间”内有效。)RFC 7517 没有定义任何与到期相关的参数在 JWKS 或单个 JWK 上,我认为最佳做法是在 JWKS 端点上使用普通的 HTTP 缓存控件来偶尔刷新它,但不要那么频繁。

    【讨论】:

    • 谢谢!我想在这种情况下,我会在 6 小时或其他时间的结构中添加一个 expAt 键,并希望它有效。
    • 嘿,我在上面更新了,因为我意识到确实有一个带有缓存选项的客户端 :)
    • 请注意,当密钥被泄露时 - 它们可能会在您的身份提供者中重新生成。您仍将使用旧的已泄露缓存密钥进行令牌验证。
    猜你喜欢
    • 1970-01-01
    • 2011-03-06
    • 2011-02-03
    • 2010-11-29
    • 2011-11-13
    • 1970-01-01
    • 1970-01-01
    • 2012-01-21
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode