我最近在我们的服务器上运行了一些负载测试,并注意到我们的JWT令牌序列化/反序列化似乎是一个很大的瓶颈。这可能是因为我们使用的是2048自签名密钥。我想知道什么密码和加密大小在安全方面是可接受的,但也减少了负载?
针对我们的API的所有交易都已经是SSL了,因此我做出了一个基本的假设,即较弱的密钥不会出现问题。我们也经常过期令牌。
建议非常感谢。
答案 0 :(得分:0)
我猜你使用的是非对称RSA密钥对。 RSA签名比HMAC慢。如果您不需要客户端验证令牌(可能因为您使用SSL而客户端已经检查服务器证书而被忽略),可以提高性能,您可以使用HMAC替换RSA而不会影响安全性。
请注意,JWT通常是签名的,而不是加密的。有效负载是base64编码的,因此任何拥有JWT的人都可以读取其内容。
签名可确保颁发者的身份并保护令牌免受更改。如果要隐藏内容,可以将JWE加密应用于JWT,但随后性能会降低。检查您的图书馆是否支持它。