HTTP Basic Auth, Lesen der Kennwortdatei und Leistung
https://stackoverflow.com/questions/1463293
-
13-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich bin gespannt, welche Leistungsauswirkungen die Nutzung von HTTP Basic -AUTH auf einem Webserver wie Apache oder LightTPD oder Nginx sind. Ich kann mir vorstellen, dass der Engpass das tatsächliche Lesen der Datei durch den Server ist, um einen Benutzer zu authentifizieren. Es scheint mir auch, dass die Kosten für das Lesen der Datei zur Authentifizierung eines Benutzers proportional zur Anzahl der Benutzer in dieser Datei sind.
Fragen, die ich habe, sind:
1. Gibt es eine bestimmte Anzahl von Benutzern, bei denen die grundlegende Authorin über Datei dramatisch fällt, oder ist es linear relativ zur Anzahl der Benutzer in der Datei?
2. Angesichts der staatenlosen Natur von HTTP, wenn ein Benutzer mithilfe von HTTP Basic Auth von dem Webserver auf eine Anfrage authentifiziert wurde:
- Leitet es einfach die Anmeldeinformationen für jede Anfrage weiter und der Webserver muss die Kennwortdatei jedes Mal analysieren, um festzustellen, ob dies eine Anforderung eines gültigen Benutzers ist?
oder
- Holen Sie sich so etwas wie ein Token, das es im HTTP -Header auf nachfolgenden Anforderungen verwendet, sodass der Server die Analyse der Kennwortdatei wieder vermeiden kann?
vielen Dank im Voraus
Lösung
Linear relativ. Ich würde mir keine Sorgen machen. HTTP Basic Auth hat sich als skalierbar erwiesen. Nehmen Sie einfach die Twitter -API als Beispiel. Es verwendet grundlegende Auth.
"Da das HTTP -Protokoll staatenlos ist, wird jede Anfrage auf die gleiche Weise behandelt, obwohl sie vom selben Client stammen. Die Ressource. Glücklich Browser und besuchen Sie dieselbe Website. "
Detaillierte Informationen in der Apache -Auth -Dokumentation.
Andere Tipps
Meine Erfahrung ist nur mit Apache 2.x.
- Ja. Es wird mit dem Standardauthentifizierungsanbieter (Datei) linear sein. Es verwendet
ap_cfg_getline()Es ist also linear für die Anzahl der Zeilen (Benutzer). - Ja. mod_aaa muss das Passwort jedes Mal analysieren. Sie können so etwas verwenden Memcookie Für Cookie- oder Token -basierte Authentifizierung.
Das Analysieren einer Datei einmal bei Anmeldung sollte ziemlich gut skalieren, egal wie viele Benutzer es gibt. Ich würde mir wirklich keine Sorgen machen. In Zukunft können Sie einen datenbankgesteuerten Ansatz mit ordnungsgemäßer Indexierung entwickeln. Ich vermute von allen Engpässen, die Sie auf der Entwicklung einer Website treffen, die Basic -Authäure wird nicht sehr lange eine davon sein - es sei denn, Ihr Webserver ist stark untermacht.
