это хорошо: вызов конечной точки отдыха из обратного прокси лака

Question

В настоящее время мы создаем приложение, которое что-то делает, и перед тем, как что-то делать, оно всегда проверяет передачу маркера клиентом, вызывая другую услугу, то есть службу аутентификации. Теперь мы планируем использовать обратный прокси лака. Несмотря на то, что мы используем лак, ему необходимо вызвать службу проверки подлинности для аутентификации токена (требуется около 100 миллисекундов для проверки токена), прежде чем даже вернуть ответ.

Так что мой вопрос в том, правильно ли использовать лак для этого прецедента. Поскольку лак предположительно возвращает кешированный ответ невероятно быстро, если я скажу лаку, чтобы вызвать службу аутентификации для аутентификации токена, чем это может быть неправильно. Что вы, ребята, думаете об этом? Заранее спасибо.

Answer 1

Ну, вы можете, вероятно, сделать это в vmod (https://www.varnish-cache.org/vmods), для аутентификации с помощью ldap уже есть некоторые vmods, поэтому это можно сделать.

Но если ваша проверка занимает ~ 100 мс, и вы хотите что-то быстро, я бы посмотрел, можно ли создать токен, который вы можете проверить его работоспособность, не обращаясь к медленной службе. Что-то, что криптографически подписывает какой-то секрет, какое-то значение, которое идентифицирует клиента (IP, имя пользователя и т. Д.) И дату истечения срока действия для создания маркера, который вы можете проверить в vcl за всю свою жизнь, не обращаясь к внешним службам.