记-JWT 认证接口性能调优

最新推荐文章于 2024-07-06 23:23:08 发布
最新推荐文章于 2024-07-06 23:23:08 发布
阅读量967 收藏 3
点赞数
分类专栏: 问题汇总 性能优化 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ory001/article/details/120948225
版权

记-JWT 认证接口性能调优

文章目录

一、前言

1.服务器

4核16G

2.工具

工具用途
jmeter压力测试工具
arthas阿里开源的Java诊断工具

2.描述

使用jmeter压测jwt认证接口时发现,服务器CPU占用特别高,TPS总是上不去仅有50 tps

二、问题排查

使用arthas 诊断工具连续打印CPU使用率高的线程堆栈,发现该方法占用CPU资源高org.springframework.security.crypto.bcrypt.BCrypt#checkpw(java.lang.String, java.lang.String)


之前对BCryptPasswordEncoder接触不多,于是顺便了解了下 Spring security BCryptPasswordEncoder密码验证原理。

BCryptPasswordEncoder密文实际由 BCryptVersion(版本号) + strength(长度) + ‘SecureRandom(随机值即real_salt)’ + hashed(散列结果);也就是说BCryptPasswordEncoder加密结果实际是加盐的hash结果,而盐不同,加密结果也就不相同,这也是为什么多次执行org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder#encode加密操作返回结果不一样,这和MD5不一样的地方。比对密码时,将数据库的hash结果作为salt(伪盐),利用org.springframework.security.crypto.bcrypt.BCrypt#checkpw(java.lang.String, java.lang.String)提取真正的real_salt(z真盐),将传入的原始密码加密,real_salt一样的情况下,重新hash的结果也是一样的,从而达到比对校验的目的。

示例数据:$2a 10 10 10SMx6IiquDTyLMrdr3n8o1.MBn/8.Y2u5hH.qVSGMafX3wsJR8VJ9q

1.加密

org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder#encode

	public String encode(CharSequence rawPassword) {
		if (rawPassword == null) {
			throw new IllegalArgumentException("rawPassword cannot be null");
		}

		String salt;
		if (random != null) {
			salt = BCrypt.gensalt(version.getVersion(), strength, random);
		} else {
			salt = BCrypt.gensalt(version.getVersion(), strength);
		}
		return BCrypt.hashpw(rawPassword.toString(), salt);
	}

2.匹配

org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder#matches

	public boolean matches(CharSequence rawPassword, String encodedPassword) {
		if (rawPassword == null) {
			throw new IllegalArgumentException("rawPassword cannot be null");
		}

		if (encodedPassword == null || encodedPassword.length() == 0) {
			logger.warn("Empty encoded password");
			return false;
		}

		if (!BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
			logger.warn("Encoded password does not look like BCrypt");
			return false;
		}

		return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
	}

3.示例程序

        String password = "123456";
        // passwordEncoder实例
        final BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        // 加密
        final String hashed = passwordEncoder.encode(password);
        // 匹配结果
        final boolean matches = passwordEncoder.matches(password, hashed);

匹配时,实际执行hash操作BCrypt.checkpw(rawPassword.toString(), encodedPassword);

4.总结

查询资料发现,前面讲的strength(长度)对hash性能影响极大(指数级别),可用值431,默认值10。测试发现确实如此。`strength(长度)`为4时,单次操作24毫秒;strength(长度)为20时,单次操作几分钟甚至更长时间。

三、解决办法

指定strength(长度)

    @Bean
    public PasswordEncoder passwordEncoder() {
        //一种基于随机生成salt的根据强大的哈希加密算法
        return new BCryptPasswordEncoder(4);
    }

四、效果

同一机器下,TPS从50提升值2000左右,提升40倍。

arthas诊断神器-初探
jmeter入门示例
Spring security BCryptPasswordEncoder密码验证原理详解

搬山境KL攻城狮
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT优缺点及应用介绍
码农的日常收集
06-06 1661
JWT,全称是JSON Web Token,是一种规范化的 token,能解决分布式部署会话问题。 JWT是一个很长的字符串,字符之间通过"."分隔符分为三个子串:JWT头,有效载荷,签名。 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。有效载荷这个JSON对象也使用Base64 URL算法转换为字符串保存。...
“长短令牌三验证”的JWT令牌续签策略(兼顾安全、性能的综合性方案)
ckw1988的专栏
05-31 5604
“长短令牌三验证”的JWT续签、管理策略 前言:最近研究JWT的续签机制,发现虽然JWT已经在业界广泛应用,但续签机制的探讨还是处于一种百家争鸣的状态(有些策略甚至能看出连JWT的基本规范都没学扎实)。所以不才在吸收了一圈网上各位达人分享的策略后加上一些个人的思考,提出一套名叫“长短令牌三验证”的解决策略,自信比较周全,拿出来与大家探讨,希望能为互联网开发生态的完善做出一点自己微薄的贡献。 令牌使用策略概述 顾名思义,本机制下所使用的令牌分为长短两种:长令牌即过期时间较长的refresh_token,专
接口性能优化方法总结
mischen520的博客
06-23 1201
将一些经常查询需要的固定不变的数据加入到缓存中,请求的时候优先从缓存里面去取数据,这样会大大提高接口的查询性能,因为缓存是存在内存中的,避免了大量的数据库查询。在操作Redis和数据库时,要么两者都成功,要么都失败,使用数据库的事务可以保证这一点。当系统发展到一定阶段,用户并发量增加,会有大量的数据库请求,这不仅需要占用大量的数据库连接,还会带来磁盘IO的性能瓶颈问题。为了提升接口性能,尤其在高并发场景下,可以考虑数据冗余,将用户信息、积分和成长值的数据统一存储在一个地方,比如Redis。
JJwt耗时分析及优化
city1993的博客
11-17 1145
1 问题 在tomcat nio的框架下,每个请求都会有一个单独的tomcat 线程对请求进行处理。Arthas观察发现,在请求中如果有jjwt的签名,有的请求耗时会非常高,高到3s ~ 4s. 查看源码,jjwt的签名方法compact,有一处源码如下 // io/jsonwebtoken/impl/DefaultJwtBuilder.java @Override public String compact() { if (this.serializer
SpringBoot整合jwt(小白入门)
java小白翻身
12-25 296
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519),它是一种安全的、轻量级的身份验证方式。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常由两部分信息组成:令牌的类型(即JWT)和所使用的签名算法。载荷包含了一些声明(Claim),用于描述用户信息、权限、过期时间等。签名由头部和载荷组成,并使用密钥进行加密生成。JWT的使用流程如下:用户使用用户名和密码进行登录,服务器验证用户信息是否正确。
jwt认证授权方案优化
最爱下雨天
11-01 703
jwt是保存在客户端的字符串,里面携带了用户的一些基本信息,每次请求时候由客户端携带jwt token去后端请求接口。 区别于cookie-session的鉴权方式,在jwt鉴权中,仍然存在一定的身份认证漏洞; 一般jwt鉴权认证过程可以描述如下: 1 用户登录通过系统的认证后,系统颁发jwt令牌给该用户,用户将该jwt存储起来,可存放在cookie,header,或者localstorage等; 2用户发送请求,请求携带上系统颁发的jwt去请求服务; 3服务端解析该jwt令牌,若是解析且验证通过,将解析后
renren-fast开发文档3.0最新版
05-22
13. **部署与运维**:文档还会包含项目部署、日志监控、性能调优等运维相关的知识,帮助开发者将renren-fast成功上线并维护。 通过《人人开源开发官方文档3.0》的学习,开发者不仅能掌握renren-fast的使用方法,也...
social-network-api
03-20
4. 监控与日志:设置监控系统,录日志,以便于故障排查和性能调优。 总结,JavaScript在社交网络API开发中的应用广泛且高效,理解并掌握其核心原理和最佳实践,对于打造高效、安全、易用的社交网络服务至关重要。...
thinkittwice-api
02-11
10. **性能监控和调优**:通过工具如New Relic或Prometheus监控API性能,确保其在高并发场景下也能正常运行。 以上只是根据标题和描述推测的一些可能知识点,具体实现将取决于实际代码和项目需求。如果...
-javaweb酒店客房预定管理系统.zip
07-03
系统上线前,进行压力测试和性能调优,确保系统在高并发场景下的稳定性。部署时,可采用Docker容器化技术,实现快速部署和环境隔离。 本"javaweb酒店客房预定管理系统"项目综合运用了Java后端技术栈,通过...
Java后台面经--倾听潮汐.zip
04-25
14. **性能调优**:CPU、内存、磁盘、网络等资源的监控和分析,以及应用性能的优化。 15. **安全性**:HTTPS、JWT、OAuth2等认证授权机制,以及SQL注入、XSS、CSRF等安全防护。 最后,面试中可能还会涉及项目经验...
扩展jwt解决oauth2 性能瓶颈
乌龟的专栏
08-16 769
oauth2 性能瓶颈 资源服务器的请求都会被拦截 到认证服务器校验合法性 (如下图) 用户携带token 请求资源服务器 资源服务器拦截器 携带token 去认证服务器 调用tokenstore 对token 合法性校验 资源服务器拿到token,默认只会含有用户名信息 通过用户名调用userdetailsservice.loadbyusername 查询用户全部信息 如上步骤在实际使用,会造成认证中心的负载压力过大,成为造成整个系统瓶颈的关键点。 check-token 过程中涉及的
轻松搞定jwt致命问题
qq_42673825的博客
08-11 254
其实脑洞大开。jwt有许多致命问题。可以巧妙避开。 从而注重使用最牛的特点。多个服务的情况下。jwt可以轻松在任何一个服务使用。 网友问: 网上有很多文章,可是几乎都没有讲jwt如何续签的​ 我: 要么存redis,要么刷新令牌。网上随便一搜就有。​ 网友: 存redis那我就不用jwt了,普通session改造得了,jwt一大串还占用带宽呢​ 我: 此言差矣。那是因为你jwt里面包含了太多的信息。 以我对jwt的了解。如果里面只包含用户id。正常情况下是不会超过150个字母,占用空间。可以忽略不计。无论系
jwt token 太长_养三角梅,枝条太长怎么办
weixin_39864453的博客
11-03 127
为你提供最新家居产品资讯,传递最新家居设计理念!家,我们的三角梅又名叶子花,花瓣是三角形的,有单瓣的重瓣的,都挺漂亮的,三角梅虽然可以长成灌木状,但是它也会爬藤,因为它是一种半藤本的爬藤植物,在养三角梅小苗的时候我们还会发现,等养到一段时间,肥水保持充足,它的枝条就会长到老长了,尤其是在春季,生长旺季,一根枝条,能在短短两三个月的时间里,长到一两米长。养三角梅,枝条太长怎么办?简单2步,...
jmeter接口测试、压力测试简单实现
m0_59350665的博客
07-27 2039
测试查看商品的接口,除了登录接口的其他接口都需要登录时生成的token,也就是上图的jwt值,没有这个值,是无权进行查看接口这个操作。{ "gname": "苹果手机", "num": 1, "price":4000.00, "seller": "root", "username": "${username}" }","code":200,"data":{"jwt":"token值","username":"用户名"}}把验证码接口和登录接口放到循环控制器中,运行测试,查看结果树,可以得到4组测试结果。
jwt token长度_听说你的JWT库用起来特别扭,推荐这款贼好用的
weixin_40008870的博客
11-26 396
以前一直使用的是jjwt这个JWT库,虽然小巧够用, 但对JWT的一些细节封装的不是很好。最近发现了一个更好用的JWT库nimbus-jose-jwt,简单易用,API非常易于理解,对称加密和非对称加密算法都支持,推荐给大家!简介nimbus-jose-jwt是最受欢迎的JWT开源库,基于Apache 2.0开源协议,支持所有标准的签名(JWS)和加密(JWE)算法。JWT概念关系这里我们需要了解...
jwt token太长了?自己实现序列化并缩短token长度
最新发布
fashionbrot的专栏
07-06 502
jwt token 太长了? 可以试一下自定义实现的数据+签名的 token秘钥
java-jwt和jjwt
07-29
Java-JWT 和 JJWT 都是用于处理 JSON Web Tokens (JWT) 的 Java 库。 Java-JWT 是一个开源的 Java 库,它提供了一套简单易用的 API,用于生成、解析和验证 JWT。它遵循 JWT 规范,并提供了一些便捷的方法来处理 JWT 的创建和验证过程。Java-JWT 支持对 JWT 进行签名和加密,并提供了多种算法和密钥管理选项。你可以在 Maven 中央仓库中找到 Java-JWT 的最新版本。 JJWT (Java JSON Web Token) 是一个基于 Java-JWT 的库,它提供了更加简化的 API,用于生成、解析和验证 JWT。JJWTJava-JWT 的基础上进行了封装和扩展,使得使用 JWT 变得更加方便。JJWT 提供了一些额外的功能,如支持链式编程、自定义声明、过期时间检查等。你可以通过 Maven 或 Gradle 引入 JJWT。 总结来说,Java-JWT 是一个功能丰富的 JWT 处理库,而JJWT 则是对 Java-JWT 进行封装和扩展,提供了更简化的 API 和额外的功能。你可以根据自己的需求选择使用其中之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

搬山境KL攻城狮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值