Grails spring-security-ldap缓存和Redis

Question

新手问题所以请耐心听我说。

目前，我有一个Grails 2.4.4应用程序，它使用spring-security-LDAP2.0.1通过OpenLdap服务器对授权用户进行身份验证。

LDAP人员担心，如果不缓存此应用程序，在迁移到生产环境时可能会影响LDAP服务器的性能。他们建议考虑使用Redis作为用户的应用程序级缓存，b4命中LDAP服务器。

在深入POC之前，我想了解一些方向，请确保我从正确的路径开始：

i)我简单查看了Grail org上的“Grails 1&2 plugins”，当我搜索Redis时，出现了几个插件……哪些(哪些)实际上与我正在尝试实现的目标相关？

ii)假设我已经将Redis缓存集成到我的Grails中，我如何/在哪里告诉spring-security-ldap首先查看Redis缓存，b4访问Ldap服务器？

提前感谢任何信息/指南..

Answer 1

这里有一些建议，因为你不是在寻找现成的解决方案：

• 缓存任何类型的身份验证都是重大的安全故障，因为黑客将能够利用这一点来绕过一些实施到您的LDAP解决方案中的规则，例如暴力破解保护(例如，在N个错误的密码后阻止帐户)
• 为了处理LDAP服务器端的负载，您可以调整会话令牌过期时间(JSESSIONID或JWT，取决于Spring安全的配置)。例如，如果令牌过期时间为1小时，则每个用户每小时只能收到1个请求。
• 您可以使用刷新令牌机制来续订会话令牌，而无需查询LDAP。在这种情况下，每个用户每个设备只有1个LDAP请求，这可能是可以接受的。这是本文档中how to do it using Grails JWT，您将看到REDDIS can be used to store token，它与您的初始解决方案

非常相关