当我们实现oAuth时,JWT是粘性会话的替代方案吗

zdwk9cvp  于 2023-04-19  发布在  其他
关注(0)|答案(1)|浏览(118)

我想知道用JWT实现oauth是否是粘性会话的替代方案?如果在使用JWT时,完整的有效负载/签名信息在客户端和负载平衡服务器之间发送,那么为什么我们仍然需要粘性会话?一位高级架构师说即使我们使用JWT也需要粘性会话,但我不明白为什么需要粘性会话。
救命啊!
问候,斯里拉姆

bihw5rsg

bihw5rsg1#

如今,API服务器最好避免粘性会话。考虑一个具有10个示例的集群:

  • JWT无状态
  • 但是为了验证它,示例通常需要从JWKS端点下载令牌签名公钥
  • JWT头中的kid然后根据令牌签名公钥进行缓存,通常由JWT库进行缓存
  • 即使有10,000个不同的用户,每个示例也只进行一次子查找

所有这些都意味着在负载下首选非粘性,因为没有访问不同服务器的开销。

相关问题