访问令牌验证

Question

我花了相当多的时间来阅读REST的基于Oauth和基于令牌的安全措施，目前我正在考虑实现一种基于Oauth的身份验证方法，与本文中描述的方法(两党制的OAuth替代方案)几乎完全一样。

据我所知，令牌将在对资源服务器的每个请求中进行验证。这意味着资源服务器需要从数据存储检索令牌，以验证客户端令牌。考虑到每一个请求都必须发生这种情况，我担心在每个请求上访问像MySQL或NoSQL这样的数据存储仅仅是为了验证令牌的速度影响。

这是通过将令牌存储在关系数据库管理系统或NoSQL数据库中并在每个请求时检索来验证令牌的标准方法吗？或者让它们缓存是一个合适的解决方案(请记住，我们谈论的是数百万用户)？

Answer 1

据我所知，令牌将在对资源服务器的每个请求中进行验证。这意味着资源服务器需要从数据存储检索令牌，以验证客户端令牌。考虑到每一个请求都必须发生这种情况，我担心在每个请求上访问像MySQL或NoSQL这样的数据存储仅仅是为了验证令牌的速度影响。

是的，这是正确的，但是如果数据库对您来说比较慢的话，您可以为这些令牌使用内存缓存。无论如何，我建议你用工具而不是理论来找出瓶颈。