我目前编写了一个使用HTTP Basic over TLS进行身份验证的API,我非常高兴。
现在我提高了密码加密的值(如长度,迭代次数......),以获得更逼真的场景。不幸的是,这使得API访问速度非常慢,因为我不得不一遍又一遍地重新编写HTTP Basic凭证。
克服这个问题最简单的方法(当然是会话除外)是什么?
答案 0 :(得分:3)
pbkdf2并不是要重复调用,事实上,防止这种情况的速度很慢。这通常与一些基于会话或令牌的身份验证和SSL / TLS结合使用。
如果你的缓慢是由pbkdf2引起的,并且你不想进行会话或任何类似的基于令牌的身份验证,那么除了放弃或降低pbkdf2的迭代之外,你无法做到这一点。
尽管如此,您可以考虑放弃HTTP Basic Auth,保留TLS,并进行自己的身份验证,然后保持连接打开以获取其他请求。当然,客户也可以支持这一点。
另一种解决方案是添加更多硬件以分散负载。由于散列是在Web服务器而非数据库服务器上完成的,因此您可以添加更多Web服务器,Web服务器CPU等,并平衡负载。