我是否必须为每个请求验证 JWT 令牌?
[英]Do I have to verify a JWT token per request?
问题描述
我们有一个 API,我们有几个客户端应用程序(app、webapp 等)。
我们正在使用 Firebase 身份验证( https://firebase.google.com/docs/auth/admin/verify-id-tokens ); 我很容易验证在我的客户端 SDK 上生成的 JWT 令牌的完整性,但是,我面临一个小问题。
每个请求,我们在 HTTP 标头中传递一个身份验证令牌 / jwt 令牌,以确保每个调用都经过身份验证。 这会产生大量开销,因为每个令牌完整性检查平均需要大约 200-400 毫秒。
我正在考虑将密钥存储在内存中或具有( exp )过期时间的东西,但我不确定这是否是一个很好的解决方案。 我只会用给出的一大串密钥来验证密钥,当密钥到期日期清除时,它就会清除。
我应该如何处理这个问题? 有没有办法绕过时间开销?
谢谢!
1 个解决方案
解决方案1
1 已采纳 2020-02-25 01:25:26
时间真的花在验证令牌上了吗? 您可能想看看是否可以准确地看到它的去向,因为解码令牌应该非常快。 但是,如果您每次都检索帐户的公钥,那当然可以解释其中的一部分。
除此之外,只要该令牌没有过期,缓存exp或任何其他解码的令牌信息都没有错。 事实上,这是一个相当标准的空间与时间的权衡。 请记住,您将为那里的每个令牌使用内存,因此随着您获得更多并发用户,这将累加。
对于 REST API,我可以使用 flask-login 提供的身份验证机制,还是必须明确使用基于令牌的身份验证,如 JWT?
[英]For a REST API, can I use authentication mechanism provided by flask-login or do I explicitly have to use token based authentication like JWT?
验证 JWT 令牌签名,无需在 PyJWT 库中对其进行解码
[英]Verify the JWT token signature without decoding it in the PyJWT library
如何解码和验证 simple-jwt-django-rest-framework 令牌
[英]How to decode and verify simple-jwt-django-rest-framework token
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Firebase JWT库无法验证Python JWT令牌
如何验证数独行是否全部为 9 位数字?
对于 REST API,我可以使用 flask-login 提供的身份验证机制,还是必须明确使用基于令牌的身份验证,如 JWT?
如何验证MS Azure AD生成的JWT id_token?
验证 JWT 令牌签名,无需在 PyJWT 库中对其进行解码
如何解码和验证 simple-jwt-django-rest-framework 令牌
使用Python请求帖子时如何验证自己
Flask JWT 在每个请求上扩展令牌的有效性
Postman 使 JWT 令牌请求失败
有没有一种方法来拥有特定于租户的JWT令牌
相关标签